Poodle

german

#1

Hallo,

für bzw. gegen POODLE wurden heute schon ein paar Bugs z.B. [bug]36173[/bug] aufgemacht. Ich nehme mal an, dass es bald Fixes gibt.

Bis dahin kann man sich evtl. wie folgt behelfen:

Im Template /etc/univention/templates/files/etc/apache2/mods-available/ssl.conf unterhalb

<IfModule mod_ssl.c> SSLEngine on
einfügen:

SSLProtocol All -SSLv2 -SSLv3
Dann

ucr commit /etc/apache2/mods-available/ssl.conf /etc/init.d/apache2 restart
Zumindest beim Apache von 3.2-3 geht dann noch TLSv1.0, zu älteren Systemen kann ich auf die Schnelle nichts sagen.
Zu Risiken und Nebenwirkungen befragen Sie bitte Ihren …

Viele Grüße,
Dirk Ahrnke


Poodle Attacke vs. Apache (Zarafa?) und Modulen in UCS
#2

Sehr hilfreich, wie üblich, Herr Ahrnke.

Vielen Dank!


#3

Hallo,
sodale, die Änderung wurde meinerseits wieder rückgängig gemacht und http://errata.univention.de/ucs/3.2/225.html eingespielt.

Hat geklappt. Damit dürfte zumindest der Apache “offiziell” gepatcht sein.

Wie schaut es eigentlich mit den restlichen Komponenten von UCS aus, dort wird SSLv3 höchstwahrscheinlich nach wie vor akzeptiert (Postfix, Fetchmail usw.).

Beste Grüße,

TP


#4

Hallo,

zu Postfix und Dovecot hat Peer Heinlein vorletzte Woche was im Blog. Das wäre bei Bedarf adäquat über Templates anwendbar. Beachtenswert dazu ist aber auch der Kommentar zum Blogpost.

Für UCS sind außerdem noch ein paar mehr generische Bugs im Kontext offen ([bug]36170[/bug], [bug]36171[/bug], [bug]36172[/bug]

Viele Grüße,
Dirk Ahrnke


#5

Hallo,

danke!

Fazit: mal so lassen, bis ein getesteter Fix von UCS selbst kommt. Die Anmerkung mit dem zur Attacke nötigen MITM Angriff ist nachvollziehbar, wenn auch mittelfristig jedenfalls nichtsdestotrotz zu korrigieren.

Beste Grüße,

TP