für bzw. gegen POODLE wurden heute schon ein paar Bugs z.B. [bug]36173[/bug] aufgemacht. Ich nehme mal an, dass es bald Fixes gibt.
Bis dahin kann man sich evtl. wie folgt behelfen:
Im Template /etc/univention/templates/files/etc/apache2/mods-available/ssl.conf unterhalb
<IfModule mod_ssl.c>
SSLEngine on
einfügen:
SSLProtocol All -SSLv2 -SSLv3
Dann
ucr commit /etc/apache2/mods-available/ssl.conf
/etc/init.d/apache2 restart
Zumindest beim Apache von 3.2-3 geht dann noch TLSv1.0, zu älteren Systemen kann ich auf die Schnelle nichts sagen.
Zu Risiken und Nebenwirkungen befragen Sie bitte Ihren …
Hat geklappt. Damit dürfte zumindest der Apache “offiziell” gepatcht sein.
Wie schaut es eigentlich mit den restlichen Komponenten von UCS aus, dort wird SSLv3 höchstwahrscheinlich nach wie vor akzeptiert (Postfix, Fetchmail usw.).
zu Postfix und Dovecot hat Peer Heinlein vorletzte Woche was im Blog. Das wäre bei Bedarf adäquat über Templates anwendbar. Beachtenswert dazu ist aber auch der Kommentar zum Blogpost.
Für UCS sind außerdem noch ein paar mehr generische Bugs im Kontext offen ([bug]36170[/bug], [bug]36171[/bug], [bug]36172[/bug]
Fazit: mal so lassen, bis ein getesteter Fix von UCS selbst kommt. Die Anmerkung mit dem zur Attacke nötigen MITM Angriff ist nachvollziehbar, wenn auch mittelfristig jedenfalls nichtsdestotrotz zu korrigieren.