Poodle
-
Hallo zusammen,
sicher haben die meisten schon von der neuen Schwachstelle Poodle mitbekommen!
Aktuell ist pfSense davon betroffen. Genau genommen ist es nicht pfSense, es ist min. der verwendete HTTP Dienst (lighty).Das kann jeder bei seiner eigenen Kiste mal testen:
openssl s_client -connect 192.168.1.1:8001 -ssl3 openssl s_client -connect 192.168.1.1:443 -ssl3
Der Patch muss gilt für folgende Datei:
/etc/inc/system.inc
Dort nach folgendem suchen:
// Harden SSL a bit for PCI conformance testing $lighty_config .= "ssl.use-sslv2 = \"disable\"\n";
Und direkt darunter folgenden Patch einfügen:
$lighty_config .= "ssl.use-sslv3 = \"disable\"\n";
Ich empfehle die Option "Mitigate the BEAST SSL Attack" in der GUI einzuschalten. Diese ist in System/Advanced unter Admin Access
Hier der komplette Patch (Abgezogen von meinem laufenden System):
[2.1.5-RELEASE][root@hotspot.bewoelkt.net]/etc/inc(45): diff system.inc system.inc.old 1155d1154 < $lighty_config .= "ssl.use-sslv3 = \"disable\"\n"; 1173,1178c1172 < $lighty_config .= "ssl.cipher-list = \"AES256+EECDH:AES256+EDH\"\n"; < $lighty_config .= "ssl.use-compression = \"disable\"\n"; < $lighty_config .= "setenv.add-response-header = (\n"; < $lighty_config .= " \"Strict-Transport-Security\" => \"max-age=63072000; includeSubDomains\",\n"; < $lighty_config .= " \"X-Frame-Options\" => \"DENY\"\n"; < $lighty_config .= ")\n"; --- > $lighty_config .= "ssl.cipher-list = \"ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM\"\n";
P.S.: Wer wie ich auch andere Dienste/Server (Apache, Postfix, nginx usw.) hat, der sollte diese auch so schnell wie möglich Patchen. Für diese gibt es Anleitungen die recht einfach (Google) zu finden sind.