Представлен [2] корректирующий выпуск OpenSSL 0.9.8w [3] в который внесены [4] дополнительные правки, связанные с устранением представленной [5] 19 апреля критической уязвимости. Как оказалось, в ветке OpenSSL 0.9.8 уязвимость была исправлена не полностью и оставались способы эксплуатации проблемы. Проблема наблюдается только в версии OpenSSL 0.9.8v, выпуски OpenSSL 1.0.1a и 1.0.0i устраняют уязвимость полноценно.
Дополнительно можно выделить выход новых версий почтового сервера Postfix 2.9.2, 2.8.10, 2.7.9 и 2.6.15, в которых реализован обходной путь для обеспечения работы с OpenSSL 1.0.1. В частности, в релизах добавлена возможность отключения протоколов TLSv1.1 и TLSv1.2, поддержка которых представлена в OpenSSL 1.0.1. Для данных протоколов наблюдаются проблемы с совместимостью между разными реализациями, например, при организации соединения между продуктами на базе OpenSSL и некоторыми сервисами Hotmail.
Для отключения TLSv1.1 и TLSv1.2 в /etc/postfix/main.cf следует указать:
smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtp_tls_mandatory_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2 smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
или отключить только для проблемных хостов, в /etc/postfix/main.cf :
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
в /etc/postfix/tls_policy:
example.com may protocols=!SSLv2:!TLSv1.1:!TLSv1.2
Ссылки:
[1] http://htfl.ru/cat-news-obnovlenie-po
[2] /out.php?link=http://marc.info/?l=openssl-dev&m=133525318514423&w=2
[3] /out.php?link=http://openssl.org/
[4] /out.php?link=http://www.openssl.org/news/secadv_20120424.txt
[5] http://htfl.ru/news/kriticheskaya-uyazvimost-v-openssl