Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Poodle

    Scheduled Pinned Locked Moved Deutsch
    1 Posts 1 Posters 891 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jhochwald
      last edited by

      Hallo zusammen,

      sicher haben die meisten schon von der neuen Schwachstelle Poodle mitbekommen!
      Aktuell ist pfSense davon betroffen. Genau genommen ist es nicht pfSense, es ist min. der verwendete HTTP Dienst (lighty).

      Das kann jeder bei seiner eigenen Kiste mal testen:

      openssl s_client -connect 192.168.1.1:8001 -ssl3
      openssl s_client -connect 192.168.1.1:443 -ssl3
      

      Der Patch muss gilt für folgende Datei:

      /etc/inc/system.inc
      

      Dort nach folgendem suchen:

      // Harden SSL a bit for PCI conformance testing
      $lighty_config .= "ssl.use-sslv2 = \"disable\"\n";
      

      Und direkt darunter folgenden Patch einfügen:

      $lighty_config .= "ssl.use-sslv3 = \"disable\"\n";
      

      Ich empfehle die Option "Mitigate the BEAST SSL Attack" in der GUI einzuschalten. Diese ist in System/Advanced unter Admin Access

      Hier der komplette Patch (Abgezogen von meinem laufenden System):

      [2.1.5-RELEASE][root@hotspot.bewoelkt.net]/etc/inc(45): diff system.inc system.inc.old
      1155d1154
      < 		$lighty_config .= "ssl.use-sslv3 = \"disable\"\n";
      1173,1178c1172
      < 			$lighty_config .= "ssl.cipher-list = \"AES256+EECDH:AES256+EDH\"\n";
      < 			$lighty_config .= "ssl.use-compression = \"disable\"\n";
      < 			$lighty_config .= "setenv.add-response-header = (\n";
      < 			$lighty_config .= "	\"Strict-Transport-Security\" => \"max-age=63072000; includeSubDomains\",\n";
      < 			$lighty_config .= "	\"X-Frame-Options\" => \"DENY\"\n";
      < 			$lighty_config .= ")\n";
      ---
      > 			$lighty_config .= "ssl.cipher-list = \"ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM\"\n";
      

      P.S.: Wer wie ich auch andere Dienste/Server (Apache, Postfix, nginx usw.) hat, der sollte diese auch so schnell wie möglich Patchen. Für diese gibt es Anleitungen die recht einfach (Google) zu finden sind.

      Regards

      /JH

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.