Bug 29177 - CRIME-SSL-Angriff (3.1)
CRIME-SSL-Angriff (3.1)
Status: CLOSED WONTFIX
Product: UCS
Classification: Unclassified
Component: Security updates
UCS 3.0
Other Linux
: P3 normal (vote)
: UCS 3.1-x-errata
Assigned To: Security maintainers
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2012-11-09 16:19 CET by Moritz Muehlenhoff
Modified: 2019-04-11 19:25 CEST (History)
0 users

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Moritz Muehlenhoff univentionstaff 2012-11-09 16:19:51 CET
+++ This bug was initially created as a clone of Bug #28592 +++

CVE-2012-4929 / CVE-2012-4930

SSL/TLS und SDPY verwenden optional Kompression für die verschlüsselten Pakete.
Ein Man-in-the-Middle kann dadurch z.B. einen Cookie bruteforcen:
http://security.blogoverflow.com/2012/09/how-can-you-protect-yourself-from-crime-beasts-successor/

Sowohl der Server, als auch der Client müssen SSL-Kompression unterstützen.

Die Firefox-Versionen in UCS 2.4/3.0 verwenden keine SSL-Kompression.

GNU TLS implementiert SSL-Kompression, es ist aber per Default deaktiviert. Es
sind aktuell keine Applikationen bekannt, die es aktivieren.

In OpenSSL ist es standardmässig aktiviert.
Comment 1 Moritz Muehlenhoff univentionstaff 2012-11-30 15:54:16 CET
Die SSL-Implementierung in QT ist ebenfalls betroffen.

Für Apache gibt es ein Update, das SSL-Kompression serverseitig deaktiviert.
Comment 2 Moritz Muehlenhoff univentionstaff 2014-06-02 07:59:16 CEST
The maintenance with bug and security fixes for UCS 3.1-x has ended on 31st of May 2014.

The maintenance of the UCS 3.x major series is continued by UCS 3.2-x that is supplied with bug and security fixes.

Customers still on UCS 3.1-x are encouraged to update to UCS 3.2. Please contact your partner or Univention for any questions.