Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 4 subscribers
  • Views 87163 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New SSL vulnerability "Poodle" and the Userportal

maybeageek
Hi all,

I just found out about poodle and tested my UTM for it: It sure is vulnerable... and of course the Userportal is exposed. The Webadmin is not available form outside though.

As long as there is no fix from Sophos is it advisable to just disable SSLv3 in the httpd.conf under /var/sec/chroot-httpd/etc/httpd ?, i.e. make the "SSLProtocol all -SSLv2" to a "SSLProtocol all -SSLv2 -SSLv3" like on any other Apache Webserver?

All the best,

maybeageek

Poodle: Google Finds Vulnerability In SSL 3.0 Web Encryption - Slashdot
Test if a server is vulnerable: openssl s_client -connect IPofAPACHE:443 -ssl3


This thread was automatically locked due to age.
Parents
  • 0
    If you follow the instructions from KB The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds for disabling SSL3 in Sophos UTM SMTP Proxy Exim, you won't receive Mails from many many SMTPs out there, e.g. google, amazon... They only uses TLS Versions prior 1.2. With the settings from KB article your SOPHOS UTM handles ONLY TLS1.2 requests.

    Instead we changed only the option

    openssl_options = +no_tlsv1_2 

    to

    openssl_options = +no_sslv3

    With this, UTMs SMTP speaks TLS1, TLS1.1, TLS1.2 .

    Addition: It is important that you DO NOT add "!SSLv3" to tls_require_ciphers - that's what I meant by "Instead we changed only the option" ... ;-) If you do it regardlessly, UTM SMTP stays on TLSv1.2 only no matter the openssl_options change.
  • 0 in reply to eserzet_01
    If you follow the instructions from KB The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds for disabling SSL3 in Sophos UTM SMTP Proxy Exim, you won't receive Mails from many many SMTPs out there, e.g. google, amazon... They only uses TLS Versions prior 1.2. With the settings from KB article your SOPHOS UTM handles ONLY TLS1.2 requests.

    Instead we changed only the option

    openssl_options = +no_tlsv1_2 

    to

    openssl_options = +no_sslv3

    With this, UTMs SMTP speaks TLS1, TLS1.1, TLS1.2 .


    Yes, this is right. 

    2014:10:17-14:42:04 utm1 exim-in[10402]: 2014-10-17 14:42:04 TLS error on connection from mail-lb0-x22b.google.com [2a00:1450:4010:c04::22b]:52689 (SSL_accept): error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
    2014:10:17-14:42:04 utm1 exim-in[10402]: 2014-10-17 14:42:04 TLS client disconnected cleanly (rejected our certificate?)


    So I changed as you posted, and all mails from google will be delivered as before. 

    Thanks for this!
Reply
  • 0 in reply to eserzet_01
    If you follow the instructions from KB The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds for disabling SSL3 in Sophos UTM SMTP Proxy Exim, you won't receive Mails from many many SMTPs out there, e.g. google, amazon... They only uses TLS Versions prior 1.2. With the settings from KB article your SOPHOS UTM handles ONLY TLS1.2 requests.

    Instead we changed only the option

    openssl_options = +no_tlsv1_2 

    to

    openssl_options = +no_sslv3

    With this, UTMs SMTP speaks TLS1, TLS1.1, TLS1.2 .


    Yes, this is right. 

    2014:10:17-14:42:04 utm1 exim-in[10402]: 2014-10-17 14:42:04 TLS error on connection from mail-lb0-x22b.google.com [2a00:1450:4010:c04::22b]:52689 (SSL_accept): error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
    2014:10:17-14:42:04 utm1 exim-in[10402]: 2014-10-17 14:42:04 TLS client disconnected cleanly (rejected our certificate?)


    So I changed as you posted, and all mails from google will be delivered as before. 

    Thanks for this!
Children
No Data
Unfiltered HTML