Problemy z SSL v3.0 w produktach Kerio®
Podatność CVE-2014-3566, zwana POODLE, jest spowodowana wadą powstałą na etapie projektowania protokołu SSL v3.0. Atakujący, który kontroluje sieć pomiędzy klientem i serwerem może wpływać na każdą próbę uzgadniania transmisji TLS 1.0 lub nowszej, zmuszając obydwie strony (klienta i serwer) do używania SSL v3.0. Po takiej operacji może wykorzystać inne techniki ataku do odszyfrowania przesyłanych danych.
Kerio® Connect – zostanie wydany patch (rozwiązanie dostępne poniżej)
Podatne wersje:
- Kerio® MailServer 5 – 6.7.3
- Kerio® Connect 7.0.0 – 8.3.2
Zagrożenie:
Atakujący może uzyskać pliki cookie sesji HTTP przy dostępie do WebMail (Kerio® Connect Client) lub Web administracji, przechwytując komunikację sieciową i odszyfrowując SSL v3.0. Może to pozwolić atakującemu na uzyskanie pełnego dostępu do skrzynek użytkowników oraz konfiguracji produktu.
Rozwiązanie:
Aktualizacja do wersji 8.3.3.
- Zatrzymaj usługę serwera Kerio® Connect.
- W pliku konfiguracyjnym mailserver.cfg zmień parametr „DisableSSLv3” na wartość „1”.
- Uruchom usługę serwera Kerio® Connect.
Zaktualizowana wersja z obsługą TLS_FALLBACK_SCSV w OpenSSL dostępna będzie wkrótce.
Kerio® Control – zostanie wydany patch (rozwiązanie dostępne poniżej)
Podatne wersje:
- Kerio® Control do wersji 8.4.0
Zagrożenie:
Atakujący może uzyskać pliki cookie sesji HTTP przy dostępie do logowania i statystyk Kerio® Control lub Web administracji, przechwytując komunikację sieciową i odszyfrowując SSL v3.0. Może to pozwolić atakującemu na uzyskanie pełnego dostępu do statystyk użytkowników oraz konfiguracji produktu.
Rozwiązanie:
Należy zmienić wartość parametru konfiguracyjnego „ForceTLSv1_1” na „1” i zrestartować serwer.
Dla wersji appliance wymagany jest dostęp przez SSH. Aby aktywować Secure Shell Access, należy w Web administracji kliknąć ikonę Kondycja systemu, trzymając wciśnięty klawisz Shift. W lewym dolnym rogu pojawi się dodatkowy przycisk włączający dostęp przez SSH. Nazwa użytkownika to root, a hasło jest takie, jak do konta administracyjnego używanego do Web administracji.
Należy użyć następujących komend w konsoli lub przez SSH;
~ # /opt/kerio/winroute/tinydbclient „update ssl set forcetlsv1_1=1”
~ # /etc/boxinit.d/60winroute restart
Zaktualizowana wersja z obsługą TLS_FALLBACK_SCSV w OpenSSL dostępna będzie wkrótce.
Kerio® Operator – zostanie wydany patch
Podatne wersje:
- Kerio® Operator do wersji 2.3.3
Zagrożenie:
Atakujący może uzyskać pliki cookie sesji HTTP przy dostępie do klienta Kerio® Operator lub Web administracji, przechwytując komunikację sieciową i odszyfrowując SSL v3.0. Może to pozwolić atakującemu na uzyskanie pełnego dostępu do ustawień i poczty głosowej użytkowników oraz konfiguracji produktu.
Rozwiązanie:
W chwili obecnej nie ma prostego rozwiązania problemu, ponieważ Operator nie posiada edytowalnej przez administratora opcji wymuszającej TLS 1.1.
Zaktualizowana wersja z obsługą TLS_FALLBACK_SCSV w OpenSSL dostępna będzie wkrótce.
Samepage®
Od 15 października, Samepage® nie pozwala na korzystanie z SSL w wersjach 2 i 3.
W przypadku dodatkowych pytań, zapraszamy do kontaktu z dystrybutorem Kerio® w Polsce.
Problem związany z obsługą SSL v3.0 nie występuje wyłącznie w produktach Kerio®, zatem zalecamy dokładne sprawdzenie wszystkich rozwiązań, które mogą korzystać z SSL v3.0 i skonsultowanie na stronie producentów czy i jakie kroki należy podjąć, aby wyeliminować ewentualne zagrożenie.