Ny SSL sårbarhed offentligøres snart: SSL 3.0

[lath]

http://www.theregister.co.uk/2014/10/14/nasty_ssl_30_vulnerability_to_drop_tomorrow/

/Lars

[AJenbo]

Det har kun været et spørgsmål om tid og jeg hade der for også for længst deaktiveret ssl3. Jeg glæder mig bare TLS1 kan udfases så det kun er TLS1.2 som minimum.

Pt. kræver det at verdenen overgår til Android 4.4, en opdatering af Bing og Google bots, IE11 (farvel Vista) og Safari 7 (iOS 7/OS X 10.9). Det kan dog komme til at vare længe inden det sker

[lath]

Hos mig er der lige ankommet en ny opgradering af pakkerne for både Firefox såvel som Chrome browseren, så opdater+opgrader nu, da det muligvis kan have noget at gøre med den her SSL 3.0 sårbarhed.

Kode: Vælg alt

sudo apt-get update;sudo apt-get -y upgrade

/Lars

@Ajenbo

Off-topic i forhold til det her emne:
Har meld mig ind i oversætter-gruppen for dansk på launchpad.net (jeg skal vist-nok lige godkendes før jeg helt er medlem af gruppen), og jeg har også oversat noget, kig på: https://translations.launchpad.net/~larsth

[AJenbo]

Fedt, bemærk at det er bedst at kordinere med http://wiki.dansk-gruppen.dk/index.php/Forside da ikke alt bedst oversættes via Launchpad og det er dem der står for godkendelse og gennemlæsning.

[Klaus Rasmussen]

Jeg får følgende retur på den kommando:

Kode: Vælg alt

Følgende pakker blev installeret automatisk, og behøves ikke længere:
  linux-headers-3.13.0-35 linux-headers-3.13.0-35-generic
  linux-image-3.13.0-35-generic linux-image-extra-3.13.0-35-generic
Brug »apt-get autoremove« til at fjerne dem.
Følgende pakker vil blive opgraderet:
  gnome-calculator google-chrome-stable libgweather-3-6 libgweather-common
  libssl-dev libssl-doc libssl1.0.0 openssl python-cupshelpers
  system-config-printer-common system-config-printer-gnome
  system-config-printer-udev
12 opgraderes, 0 nyinstalleres, 0 afinstalleres og 0 opgraderes ikke.
51,5 MB skal hentes fra arkiverne.
Efter denne handling, vil 2.431 kB yderligere diskplads være brugt.
ADVARSEL: Følgende pakkers autenticitet kunne ikke verificeres!
  libssl-doc libssl-dev libssl1.0.0 openssl
E: Der er problemer og -y blev brugt uden --force-yes
klaus@klaus-desktop:~$


[lath]

@Klaus Rasmussen:

Det er bare en almindelig opdater + opgrader kommando.
Kør dem eventuelt enkeltvis(= uden ; ) og uden -y (hvor -y er det samme som --assume-yes).

Jeg får ikke nogen fejl på mit system (Linux Mint "Qiana" 17, kerne: Linux 3.13.0-37-generic). Linux Mint "Qiana" 17 er baseret på Ubuntu 14.04 LTS.

Ny pakkeversion af Thunderbird er også lige ankommet.

/Lars

[zob]

Jeg fik denne opdatering lige nu.

openssl (1.0.1f-1ubuntu2.7) trusty-security; urgency=medium

* SECURITY UPDATE: denial of service via DTLS SRTP memory leak
- debian/patches/CVE-2014-3513.patch: fix logic in ssl/d1_srtp.c,
ssl/srtp.h, ssl/t1_lib.c, util/mk1mf.pl, util/mkdef.pl,
util/ssleay.num.
- CVE-2014-3513
* SECURITY UPDATE: denial of service via session ticket integrity check
memory leak
- debian/patches/CVE-2014-3567.patch: perform cleanup in ssl/t1_lib.c.
- CVE-2014-3567
* SECURITY UPDATE: fix the no-ssl3 build option
- debian/patches/CVE-2014-3568.patch: fix conditional code in
ssl/s23_clnt.c, ssl/s23_srvr.c.
- CVE-2014-3568
* SECURITY IMPROVEMENT: Added TLS_FALLBACK_SCSV support to mitigate a
protocol downgrade attack to SSLv3 that exposes the POODLE attack.
- debian/patches/tls_fallback_scsv_support.patch: added support for
TLS_FALLBACK_SCSV in apps/s_client.c, crypto/err/openssl.ec,
ssl/d1_lib.c, ssl/dtls1.h, ssl/s23_clnt.c, ssl/s23_srvr.c,
ssl/s2_lib.c, ssl/s3_enc.c, ssl/s3_lib.c, ssl/ssl.h, ssl/ssl3.h,
ssl/ssl_err.c, ssl/ssl_lib.c, ssl/t1_enc.c, ssl/tls1.h,
doc/apps/s_client.pod, doc/ssl/SSL_CTX_set_mode.pod.

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Wed, 15 Oct 2014 12:56:03 -0400

[AJenbo]

Det er vist POODLE der er det store problem denne gang, men det rammer mest brugeren, selv om det kan modvirkes hvis serveren ikke tilbyder ssl3.