Poodle



  • Hallo zusammen,

    sicher haben die meisten schon von der neuen Schwachstelle Poodle mitbekommen!
    Aktuell ist pfSense davon betroffen. Genau genommen ist es nicht pfSense, es ist min. der verwendete HTTP Dienst (lighty).

    Das kann jeder bei seiner eigenen Kiste mal testen:

    openssl s_client -connect 192.168.1.1:8001 -ssl3
    openssl s_client -connect 192.168.1.1:443 -ssl3
    

    Der Patch muss gilt für folgende Datei:

    /etc/inc/system.inc
    

    Dort nach folgendem suchen:

    // Harden SSL a bit for PCI conformance testing
    $lighty_config .= "ssl.use-sslv2 = \"disable\"\n";
    

    Und direkt darunter folgenden Patch einfügen:

    $lighty_config .= "ssl.use-sslv3 = \"disable\"\n";
    

    Ich empfehle die Option "Mitigate the BEAST SSL Attack" in der GUI einzuschalten. Diese ist in System/Advanced unter Admin Access

    Hier der komplette Patch (Abgezogen von meinem laufenden System):

    [2.1.5-RELEASE][root@hotspot.bewoelkt.net]/etc/inc(45): diff system.inc system.inc.old
    1155d1154
    < 		$lighty_config .= "ssl.use-sslv3 = \"disable\"\n";
    1173,1178c1172
    < 			$lighty_config .= "ssl.cipher-list = \"AES256+EECDH:AES256+EDH\"\n";
    < 			$lighty_config .= "ssl.use-compression = \"disable\"\n";
    < 			$lighty_config .= "setenv.add-response-header = (\n";
    < 			$lighty_config .= "	\"Strict-Transport-Security\" => \"max-age=63072000; includeSubDomains\",\n";
    < 			$lighty_config .= "	\"X-Frame-Options\" => \"DENY\"\n";
    < 			$lighty_config .= ")\n";
    ---
    > 			$lighty_config .= "ssl.cipher-list = \"ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM\"\n";
    

    P.S.: Wer wie ich auch andere Dienste/Server (Apache, Postfix, nginx usw.) hat, der sollte diese auch so schnell wie möglich Patchen. Für diese gibt es Anleitungen die recht einfach (Google) zu finden sind.


Log in to reply