Univention Bugzilla – Bug 29177
CRIME-SSL-Angriff (3.1)
Last modified: 2019-04-11 19:25:23 CEST
+++ This bug was initially created as a clone of Bug #28592 +++ CVE-2012-4929 / CVE-2012-4930 SSL/TLS und SDPY verwenden optional Kompression für die verschlüsselten Pakete. Ein Man-in-the-Middle kann dadurch z.B. einen Cookie bruteforcen: http://security.blogoverflow.com/2012/09/how-can-you-protect-yourself-from-crime-beasts-successor/ Sowohl der Server, als auch der Client müssen SSL-Kompression unterstützen. Die Firefox-Versionen in UCS 2.4/3.0 verwenden keine SSL-Kompression. GNU TLS implementiert SSL-Kompression, es ist aber per Default deaktiviert. Es sind aktuell keine Applikationen bekannt, die es aktivieren. In OpenSSL ist es standardmässig aktiviert.
Die SSL-Implementierung in QT ist ebenfalls betroffen. Für Apache gibt es ein Update, das SSL-Kompression serverseitig deaktiviert.
The maintenance with bug and security fixes for UCS 3.1-x has ended on 31st of May 2014. The maintenance of the UCS 3.x major series is continued by UCS 3.2-x that is supplied with bug and security fixes. Customers still on UCS 3.1-x are encouraged to update to UCS 3.2. Please contact your partner or Univention for any questions.