Thunderbird: Hata: imap.server.com: sunucu RFC 5746'yı desteklemiyor, bkz. CVE-2009-3555

1

Postalarımı kontrol ederken bu hatayı alıyorum ve postamı indiremiyorum. Geçenlerde Thundirbird'ü güncelledim, ancak yeniden başlatıldı ve saatlerce iyi çalışıyordu. Bu soruyu gördüm: Thunderbird "potansiyel olarak CVE-2009-3555'e karşı savunmasız" uyarısında bulunurken nasıl hesap eklerim? , https://wiki.mozilla.org/Security:Renegoti.’ye yol açtı ve config editörümü kontrol ettim ve aşağıdakiler hala varsayılan değerlerinde:

security.ssl.require_safe_negotiation;false
security.ssl.treat_unsafe_negotiation_as_broken;false
security.ssl.warn_missing_rfc5746;1

Bu hataların orjinal referanslarını buldum ama onlar 2010'dan beri. Sunucunun o zamandan beri güncellenmediğine inanmak zor. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555 , http://tools.ietf.org/html/rfc5746

Komut satırından bir bağlantı açmayı denedim ve iyi çalıştı:

$ openssl s_client -connect imap.spamarrest.com:993
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/C=US/ST=Washington/L=Mercer Island/O=Spam Arrest LLC/CN=*.spamarrest.com
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIEyTCCA7GgAwIBAgIQGYgqh31QZsgNdrzNLIRl0zANBgkqhkiG9w0BAQUFADBE
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEdMBsGA1UEAxMU
R2VvVHJ1c3QgU1NMIENBIC0gRzIwHhcNMTMwNzI1MDAwMDAwWhcNMTUwNzI1MjM1
OTU5WjBvMQswCQYDVQQGEwJVUzETMBEGA1UECBQKV2FzaGluZ3RvbjEWMBQGA1UE
BxQNTWVyY2VyIElzbGFuZDEYMBYGA1UEChQPU3BhbSBBcnJlc3QgTExDMRkwFwYD
VQQDFBAqLnNwYW1hcnJlc3QuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAv+uYrM/qwi2a2A/UxK9OXK8JkpcsRrgVpkuZYKmonRwwv6zPWaKSAMjp
gpA1IoL5/+EjxFXF0r0U8LURCex9h7PFD/QKuxY0zWl8tuFpBJMnBZvVZLoFSt0j
nEi5nQBbRTiZ3O7HqBCsjXjvUzauxNyD1rJKA7H8hwpROsjNX69npteGXN2rKv9J
wdd5z0sbmx1inoOpCrMB3QRgzAdK0w0UWgN6bm3sfO4XFdj3acsJuJpDKyIN+76F
FoMOSb+nJkwCCnYMlzdibmXpAYuATdajqU9fVp6+A9jR1EaQSeuyz6hY8tpDsxNE
SCLzsAEgkrlztR/MR0dWNe9BHXeKawIDAQABo4IBijCCAYYwKwYDVR0RBCQwIoIQ
Ki5zcGFtYXJyZXN0LmNvbYIOc3BhbWFycmVzdC5jb20wCQYDVR0TBAIwADAOBgNV
HQ8BAf8EBAMCBaAwOgYDVR0fBDMwMTAvoC2gK4YpaHR0cDovL2d0c3NsMi1jcmwu
Z2VvdHJ1c3QuY29tL2d0c3NsMi5jcmwwTAYDVR0gBEUwQzBBBgpghkgBhvhFAQc2
MDMwMQYIKwYBBQUHAgEWJWh0dHA6Ly93d3cuZ2VvdHJ1c3QuY29tL3Jlc291cmNl
cy9jcHMwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMB8GA1UdIwQYMBaA
FBFK0HM51VtpCFy6Pb9kmqiLHFW8MHIGCCsGAQUFBwEBBGYwZDArBggrBgEFBQcw
AYYfaHR0cDovL2d0c3NsMi1vY3NwLmdlb3RydXN0LmNvbTA1BggrBgEFBQcwAoYp
aHR0cDovL2d0c3NsMi1haWEuZ2VvdHJ1c3QuY29tL2d0c3NsMi5jZXIwDQYJKoZI
hvcNAQEFBQADggEBAIBf8uFFmwbDupaaxA7EcJTAEeXBscvwv+hB070MzQaMVqej
2b6uiyx3SzKioV6Oxdhgp1Q681utm/+oMhyhHZkdyWmnJp/M/COEDtEmw6i1GEQd
7HvSLAgfCTK4QymkX7KloX5+c6mQUIPnw8OlHHX/1wgPuHW61reytRaFpC0mF/7l
rdOMEp7bf8XgqihidJx0PN6QBkYJ93jcGLC/Z+RB/YbfZ5PlssLmAttSdBe8ICKp
5JZasTIJsKLmOEePx22wgSCSs90WBCtWwFWMgySL0is06kyyO8f41pxecn1l+ZUL
akBDXv0v2MEZ1Bt/zMdfb+HIZ2qrDbu7DkLPaxg=
-----END CERTIFICATE-----
subject=/C=US/ST=Washington/L=Mercer Island/O=Spam Arrest LLC/CN=*.spamarrest.com
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 3560 bytes and written 672 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: zlib compression
Expansion: zlib compression
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: E9038FFAE57B8F588299E197E5B5698AD51E595B6E2BFEEBA0ABA899ABDC1FCF
    Session-ID-ctx:
    Master-Key: 3CAD63BB946E9F696BD5259472E16A4C4616B41020A30C67A5CDDBC9BE063C702A0F0A7BE83AF98EB61D1F27A8B89E67
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket:
    0000 - e6 4e d4 d0 12 78 e6 ad-ce a5 b0 84 4d 59 ea 1d   .N...x......MY..
    0010 - fc a2 61 c2 36 e8 d5 a6-f2 3f da 74 b6 7a d7 c1   ..a.6....?.t.z..
    0020 - eb ac cf da 9a 21 02 70-da 85 38 d6 28 83 31 fe   .....!.p..8.(.1.
    0030 - e1 8d 14 ee 55 c7 02 5d-97 a3 3e cb d7 b8 70 de   ....U..]..>...p.
    0040 - 76 95 02 02 7c d8 5a 1a-f7 60 d8 fa ad f6 9f fb   v...|.Z..`......
    0050 - e1 30 92 ef 09 58 08 73-22 2c 1c bc 3c f0 a1 a5   .0...X.s",..<...
    0060 - a9 bd fb 09 52 a4 9d cd-6b a6 9c 5e 42 ab 7c b3   ....R...k..^B.|.
    0070 - 45 46 17 00 59 0a 3f b6-20 41 40 a3 2e 88 39 2c   EF..Y.?. A@...9,
    0080 - 4e 7d e6 09 ed 02 8f 3c-1e 9c 9c ce d9 88 cf 73   N}.....<.......s
    0090 - 0e d6 87 83 4a 86 30 13-22 16 9c 13 b8 17 fd ba   ....J.0.".......

    Compression: 1 (zlib compression)
    Start Time: 1434915194
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=CRAM-MD5 AUTH=PLAIN ACL ACL2=UNION] IMAP ready.
closed

Postalarımı almak için bu sorunu nasıl çözerim? Sunucunun desteğini zaten bildirmiştim, ancak bir daha duymadım.

Thunderbird 38.0.1
OpenSSL 1.0.2a 19 Mar 2015

İki ardışık güncelleme için oldu. Bu Thunderbird veya posta sunucusuyla ilgili bir hata mı?

Zaman damgası: 19.08.2015 15:54:37 PM Hata: yakalanmamış istisna: 2147746065

Zaman damgası: 19.08.2015 15:54:37 Hata: mail.spamarrest.com: sunucu RFC 5746 desteklemiyor, bakınız CVE-2009-3555

security  thunderbird  ssl  imap  openssl 
Chloe
kaynak
Şimdilik Thunderbird'ü 31.7'ye düşürdüm ve çalışmaya geri döndüm.
Chloe,
1
Düşürmenin nedeni "düzeltildi" hatası, güvenlik sorununun ortadan kalkması nedeniyle değil, Michaels'ın aşağıdaki mükemmel cevabına bakınız, ancak bu sürüm kritik bir kusurlu uygulama olarak kabul edilmeden önce piyasaya sürüldü. Düşürerek kendinizi potansiyel güvenlik sorunlarına maruz bırakıyorsunuz.
Mokubai

Yanıtlar:

2

RFC 5746, saldırganların daha önce bağlantıya veri enjekte etmelerini engellemek ve bu sayede müşterileri ve sunucuları birbirleriyle iletişim kurmalarına kandırmak ve bu sayede müşterilere karşı savunmasız bir şekilde iletişim kurmak amacıyla bir Aktarım Katmanı Güvenliği (TLS) Yeniden Yapılandırma Belirtme Uzantısını açıklıyor . orta saldırı .

CVE-2009-3555 , bu belirli bir saldırıya karşı savunmasız olan veya olmayan ürünler ve ürün sürümleri hakkında daha fazla bilgi edinmenizi sağlayan eski (2009'un sonları) Ortak Güvenlik Açığı ve Etkilenmeler tanımlayıcısıdır. CVE'lerin (ve bu durumda kesinlikle yapabileceği) birçok farklı uygulamayı kapsaması dışında, bir satıcının bir sorun raporuna atayabileceği bir hata raporu kimliğine veya sayı sayısına benzer.

Thunderbird size (kesinlikle çok kullanıcı dostu olmayan bir şekilde değil de kesinlikle katılıyorum), bağlandığınız sunucunun bu tehdidi azaltmak için geliştirilen standardı desteklemediğini ve bu potansiyel bir potansiyel ortaya koyduğu için bağlantı girişimini iptal ettiğini bildiriyor gizlilik kaybına neden olan güvenlik açığı (özellikle de kimlik doğrulama bilgileri ve e-posta trafiği bu durumda veri gizliliği).

Bunun düzeltilmesi gereken yer, bağlandığınız posta sunucusudur, bu nedenle servis sağlayıcınızdan derhal CVE-2009-3555'i azaltan bir yazılıma geçmesini istemeniz gerekir. Alternatif olarak, sorun altı yıldır bilindiğinden ve bu sorun beş buçuk yıldır standartlaştırıldığından, hizmet sağlayıcının ciddiye almadığı başka olası güvenlik sorunlarından şüphelenebilirim ve muhtemelen kişisel olarak alternatif hizmet arayabilirim. sağlayıcıları.

Gizlilik önem yoksa, o zaman deneyebilirsiniz hafifletmek bu TLS / SSL kapatarak böylece Thunderbird istemci ve posta sunucusu arasında düz metin posta iletimini kullanarak, Thunderbird hesap ayarlarında. Ancak bu, yaygın izleme de dahil olmak üzere çeşitli tehditlere karşı potansiyel olarak savunmasız kalmanıza neden olur . Ek olarak, bu hafifletici strateji, servis sağlayıcınızın posta sunucusunun ilk olarak düz metin oturumlarına izin vermesini gerektirir; Servis sağlayıcıların, özellikle kimliği doğrulanmış iş akışları için sistemlerini yalnızca şifreli bağlantılara izin verilecek şekilde yapılandırmaları giderek daha yaygın hale geliyor.Bu nedenle, bu hafifletici strateji sizin özel durumunuzda mevcut olabilir veya bulunmayabilir ve olsa bile, önerilen bir yaklaşım değildir.

Bu sorunu gözardı etmenin (düz metinli e-posta aktarımına geçerek) yalnızca sizi değil, aynı zamanda e-postayla karşılık geldiğiniz herkesi de etkilediğini unutmayın . En güncel Internet mühendisliği uygulamalarının aksine), yaygın izlemenin sizin durumunuz için bir tehdit olmadığını düşünseniz bile, karşı karşıya olduğunuz kişiler farklı hissedebilir.

bir CVn
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.