Доступны (http://permalink.gmane.org/gmane.mail.postfix.announce/154) корректирующие выпуски почтового сервера Postfix - 3.0.2, 2.11.6, 2.10.8 и 2.9.14, в которых внесено принципиальное с точки зрения безопасности изменение - прекращена поддержка протоколов SSLv2 и SSLv3, а также экспортных наборов шифров. При этом в анонсе отмечается, что прекращение поддержки слабых шифров не стоит воспринимать как повышение безопасности TLS, без принятия мер по улучшению средств аутентификации серверов, таких как Secure DNS и TLSA.

Напомним, что протокол SSLv3 был скомпрометирован осенью прошлого года, после выявления (https://www.opennet.ru/opennews/art.shtml?num=40833) атаки POODLE (https://www.openssl.org/~bodo/ssl-poodle.pdf) (CVE-2014-3566 (https://securityblog.redhat.com/2014/10/15/poodle-a-ssl3-vul.../)), позволяющей атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies, которые могут содержать идентификаторы сеанса и коды доступа, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0. Экспортные шифры были скомпрометированы в результате атаки FREAK (https://www.opennet.ru/opennews/art.shtml?num=41782), позволяющей выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом RSA.

URL: http://permalink.gmane.org/gmane.mail.postfix.announce/154
Новость: https://www.opennet.ru/opennews/art.shtml?num=42654