Univention Bugzilla – Bug 33277
CRIME-SSL-Angriff (3.2)
Last modified: 2019-04-11 19:24:10 CEST
+++ This bug was initially created as a clone of Bug #29177 +++ CVE-2012-4929 / CVE-2012-4930 SSL/TLS und SDPY verwenden optional Kompression für die verschlüsselten Pakete. Ein Man-in-the-Middle kann dadurch z.B. einen Cookie bruteforcen: http://security.blogoverflow.com/2012/09/how-can-you-protect-yourself-from-crime-beasts-successor/ Sowohl der Server, als auch der Client müssen SSL-Kompression unterstützen. Die Firefox-Versionen in UCS 2.4/3.0 verwenden keine SSL-Kompression. GNU TLS implementiert SSL-Kompression, es ist aber per Default deaktiviert. Es sind aktuell keine Applikationen bekannt, die es aktivieren. In OpenSSL ist es standardmässig aktiviert. Die SSL-Implementierung in QT ist ebenfalls betroffen. Für Apache gibt es ein Update, das SSL-Kompression serverseitig deaktiviert.
(In reply to Moritz Muehlenhoff from comment #0) > In OpenSSL ist es standardmässig aktiviert. This is fixed with Bug 35579.
This issue has been filed against UCS 3. UCS 3 is out of the normal maintenance and many UCS components have vastly changed in UCS 4. If this issue is still valid, please change the version to a newer UCS version otherwise this issue will be automatically closed in the next weeks.
This issue has been filed against UCS 3.0. UCS 3.0 is out of maintenance and many UCS components have vastly changed in later releases. Thus, this issue is now being closed. If this issue still occurs in newer UCS versions, please use "Clone this bug" or reopen this issue. In this case please provide detailed information on how this issue is affecting you.