Univention Bugzilla – Bug 28592
CRIME-SSL-Angriff
Last modified: 2019-04-11 19:24:11 CEST
CVE-2012-4929 / CVE-2012-4930 SSL/TLS und SDPY verwenden optional Kompression für die verschlüsselten Pakete. Ein Man-in-the-Middle kann dadurch z.B. einen Cookie bruteforcen: http://security.blogoverflow.com/2012/09/how-can-you-protect-yourself-from-crime-beasts-successor/ Sowohl der Server, als auch der Client müssen SSL-Kompression unterstützen. Die Firefox-Versionen in UCS 2.4/3.0 verwenden keine SSL-Kompression. GNU TLS implementiert SSL-Kompression, es ist aber per Default deaktiviert. Es sind aktuell keine Applikationen bekannt, die es aktivieren. In OpenSSL ist es standardmässig aktiviert.
Die SSL-Implementierung in QT ist ebenfalls betroffen. Für Apache gibt es ein Update, das SSL-Kompression serverseitig deaktiviert.
The maintenance with bug and security fixes for UCS 3.0-x has ended on 30th June 2013. The maintenance of the UCS 3.x major series is continued by UCS 3.1-x that is supplied with bug and security fixes. Customers still on UCS 3.0-x are encouraged to update to UCS 3.1 that contains, among other things, Linux Kernel 3.2, Univention App Center, an update of Samba 3 and Samba 4, support for Microsoft Windows 2012 and Windows 8. Please contact your partner or Univention for any questions.