OpenSSL 0.9.8w с устранением уязвимости. Обновление Postfix с решением проблем с OpenSSL 1.0.1
Представлен корректирующий выпуск OpenSSL 0.9.8w в который внесены дополнительные правки, связанные с устранением представленной 19 апреля критической уязвимости. Как оказалось, в ветке OpenSSL 0.9.8 уязвимость была исправлена не полностью и оставались способы эксплуатации проблемы. Проблема наблюдается только в версии OpenSSL 0.9.8v, выпуски OpenSSL 1.0.1a и 1.0.0i устраняют уязвимость полноценно.Дополнительно можно выделить выход новых версий почтового сервера Postfix 2.9.2, 2.8.10, 2.7.9 и 2.6.15, в которых реализован обходной путь для обеспечения работы с OpenSSL 1.0.1. В частности, в релизах добавлена возможность отключения протоколов TLSv1.1 и TLSv1.2, поддержка которых представлена в OpenSSL 1.0.1. Для данных протоколов наблюдаются проблемы с совместимостью между разными реализациями, например, при организации соединения между продуктами на базе OpenSSL и некоторыми сервисами Hotmail.
Для отключения TLSv1.1 и TLSv1.2 в /etc/postfix/main.cf следует указать:
smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_mandatory_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
или отключить только для проблемных хостов,
в /etc/postfix/main.cf :
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
в /etc/postfix/tls_policy:
example.com may protocols=!SSLv2:!TLSv1.1:!TLSv1.2
© OpenNet
