POODLE: SSLv3 vulnerability (CVE-2014-3566)

jidea · October 17, 2014, 2:41pm

Bonjour, suite à la vulnérabilité CVE-2014-3566, je conseil à tout le monde de retirer le protocole SSLv3 des protocoles autorisés par nginx.
Pour cela, en attendant une mise à jour par l’équipe de Blue-mind, vous devez expliciter les protocoles autorisés dans nginx.
N’ayant qu’une installation de type redhat je donne les chemins pour une telle installation.
dans
/etc/nginx/sites-enabled modifier le fichier bm-client-access
Dans la section server [code]server {
listen 443;
server_name monserveur.amoi;

ssl on;
ssl_certificate /etc/ssl/certs/bm_cert.pem;
ssl_certificate_key /etc/ssl/certs/bm_cert.pem;

ssl_session_timeout 5m;[/code]
ajouter la ligne en juste en dessous de la ligne
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /etc/ssl/certs/bm_cert.pem;

Cela aura pour effet de desactiver ssl v3 dans le client webmail.

dans /etc/nginx/global.d modifier le fichier bm-mail-proxy.conf
modifier la ligne
ssl_protocols SSLv3 TLSv1;
par
ssl_protocols TLSv1;

Poustiquet · October 19, 2014, 12:54am

Merci pour l’info .

Il me semble avoir vu cela dans les mises à jour des rules community des Snort que j’installe en amont.

Crdt
Poustiquet

Poustiquet · October 20, 2014, 12:18pm

Je confirme : les Rules Community de Snort intègre la détection et la prévention de cette vulnérabilité.

Des tentatives d’accès ont été déjà arrêté.

Bastien · October 22, 2014, 11:45am

Bonjour,

Merci pour la configuration de nginx.

En complément, pour désactiver le SSLv3 sur Postfix, il faut ajouter la ligne suivante au fichier main.cf :

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Toony · October 31, 2014, 4:52pm

Merci pour ces patch, nous avons ouvert un ticket pour faire ça directement dans BlueMind.