Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 4 subscribers
  • Views 87169 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New SSL vulnerability "Poodle" and the Userportal

maybeageek
Hi all,

I just found out about poodle and tested my UTM for it: It sure is vulnerable... and of course the Userportal is exposed. The Webadmin is not available form outside though.

As long as there is no fix from Sophos is it advisable to just disable SSLv3 in the httpd.conf under /var/sec/chroot-httpd/etc/httpd ?, i.e. make the "SSLProtocol all -SSLv2" to a "SSLProtocol all -SSLv2 -SSLv3" like on any other Apache Webserver?

All the best,

maybeageek

Poodle: Google Finds Vulnerability In SSL 3.0 Web Encryption - Slashdot
Test if a server is vulnerable: openssl s_client -connect IPofAPACHE:443 -ssl3


This thread was automatically locked due to age.
Parents
  • 0
    @Zeus:

    What is at line "tls_require_ciphers"? (...DO NOT add "!SSLv3" to tls_require_ciphers)
  • 0 in reply to Microsaft
    @Zeus:

    What is at line "tls_require_ciphers"? (...DO NOT add "!SSLv3" to tls_require_ciphers)



    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2:!SSLv3


    Do I have to remove the ":!SSLv3" from the line "tls_require_ciphers"?

    Is there a method how I can test which method is available?
    From an intern ubuntu server I tried the following:
    openssl s_client -starttls smtp -crlf -ssl3 -connect :25

    Depending on what port I use I get different results.
    On port 25 and 587 only tls1.2 works but on port 465 I get an "connected" with ssl3 and tls1.0-1.2.


    Edit:
    Removed ":!SSLv3" from "tls_require_ciphers" and now "openssl s_client -starttls smtp -crlf -tls1 -connect :25" works with tls1, tls1_1 and tls1_2 for both ports 25 and 587.
    Now it looks like it works. ssl-tools.net shows now TLS1, 1.1 and 1.2 [:)]

    Edit2:
    Recived a testmail from google mail, so I think the problem should now be solved.

    Thank you Microsaft for your quick answer and help :-)
Reply
  • 0 in reply to Microsaft
    @Zeus:

    What is at line "tls_require_ciphers"? (...DO NOT add "!SSLv3" to tls_require_ciphers)



    tls_require_ciphers = RC4+RSA:HIGH:!MD5:!ADH:!SSLv2:!SSLv3


    Do I have to remove the ":!SSLv3" from the line "tls_require_ciphers"?

    Is there a method how I can test which method is available?
    From an intern ubuntu server I tried the following:
    openssl s_client -starttls smtp -crlf -ssl3 -connect :25

    Depending on what port I use I get different results.
    On port 25 and 587 only tls1.2 works but on port 465 I get an "connected" with ssl3 and tls1.0-1.2.


    Edit:
    Removed ":!SSLv3" from "tls_require_ciphers" and now "openssl s_client -starttls smtp -crlf -tls1 -connect :25" works with tls1, tls1_1 and tls1_2 for both ports 25 and 587.
    Now it looks like it works. ssl-tools.net shows now TLS1, 1.1 and 1.2 [:)]

    Edit2:
    Recived a testmail from google mail, so I think the problem should now be solved.

    Thank you Microsaft for your quick answer and help :-)
Children
No Data
Unfiltered HTML