Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 4 subscribers
  • Views 87176 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New SSL vulnerability "Poodle" and the Userportal

maybeageek
Hi all,

I just found out about poodle and tested my UTM for it: It sure is vulnerable... and of course the Userportal is exposed. The Webadmin is not available form outside though.

As long as there is no fix from Sophos is it advisable to just disable SSLv3 in the httpd.conf under /var/sec/chroot-httpd/etc/httpd ?, i.e. make the "SSLProtocol all -SSLv2" to a "SSLProtocol all -SSLv2 -SSLv3" like on any other Apache Webserver?

All the best,

maybeageek

Poodle: Google Finds Vulnerability In SSL 3.0 Web Encryption - Slashdot
Test if a server is vulnerable: openssl s_client -connect IPofAPACHE:443 -ssl3


This thread was automatically locked due to age.
Parents
  • 0
    If you follow the instructions from KB The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds for disabling SSL3 in Sophos UTM SMTP Proxy Exim, you won't receive Mails from many many SMTPs out there, e.g. google, amazon... They only uses TLS Versions prior 1.2. With the settings from KB article your SOPHOS UTM handles ONLY TLS1.2 requests.

    Instead we changed only the option

    openssl_options = +no_tlsv1_2 

    to

    openssl_options = +no_sslv3

    With this, UTMs SMTP speaks TLS1, TLS1.1, TLS1.2 .

    Addition: It is important that you DO NOT add "!SSLv3" to tls_require_ciphers - that's what I meant by "Instead we changed only the option" ... ;-) If you do it regardlessly, UTM SMTP stays on TLSv1.2 only no matter the openssl_options change.
  • 0 in reply to eserzet_01
    If you follow the instructions from KB The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds for disabling SSL3 in Sophos UTM SMTP Proxy Exim, you won't receive Mails from many many SMTPs out there, e.g. google, amazon... They only uses TLS Versions prior 1.2. With the settings from KB article your SOPHOS UTM handles ONLY TLS1.2 requests.

    Instead we changed only the option

    openssl_options = +no_tlsv1_2 

    to

    openssl_options = +no_sslv3

    With this, UTMs SMTP speaks TLS1, TLS1.1, TLS1.2 .

    Addition: It is important that you DO NOT add "!SSLv3" to tls_require_ciphers - that's what I meant by "Instead we changed only the option" ... ;-) If you do it regardlessly, UTM SMTP stays on TLSv1.2 only no matter the openssl_options change.


    can someone of Sophos-staff please change the infos in Article ID: 121509 
    not very good if you change 50 firewalls to see that its not working at the end
Reply
  • 0 in reply to eserzet_01
    If you follow the instructions from KB The SSL v3.0 CBC (Poodle) vulnerability: affected versions, recommended steps and workarounds for disabling SSL3 in Sophos UTM SMTP Proxy Exim, you won't receive Mails from many many SMTPs out there, e.g. google, amazon... They only uses TLS Versions prior 1.2. With the settings from KB article your SOPHOS UTM handles ONLY TLS1.2 requests.

    Instead we changed only the option

    openssl_options = +no_tlsv1_2 

    to

    openssl_options = +no_sslv3

    With this, UTMs SMTP speaks TLS1, TLS1.1, TLS1.2 .

    Addition: It is important that you DO NOT add "!SSLv3" to tls_require_ciphers - that's what I meant by "Instead we changed only the option" ... ;-) If you do it regardlessly, UTM SMTP stays on TLSv1.2 only no matter the openssl_options change.


    can someone of Sophos-staff please change the infos in Article ID: 121509 
    not very good if you change 50 firewalls to see that its not working at the end
Children
No Data
Unfiltered HTML