[English text (somewhat shortened) below]
Hei
En del har sikkert fått med seg at det etter en dag med rykter så
ble det natt til i dag ble publisert en svakhet i SSLv3 som
muliggjør MITM-angrep.
Eneste skikkelig fiks er å avikle bruk av og støtte for SSLv3, både
på klienter og tjenere.
UiO-CERT har fulgt opp dette tett og sammen med respektive
driftsgrupper allerede skrudd av SSLv3-støtte i mange av de større
web-tjenestene på UiO, og vil fortsette kartleggingen og
oppfølgingen av dette.
Vi vil oppfordre alle som er ansvarlige for server-tjenester å skru av
støtte for SSLv3. Vi vil opprette en informasjonsside som vil beskrive
hvordan man gjør dette for for bl.a. Apache. Vi vil fylle på siden med
informasjon fortløpende. Ta også kontakt med UiO-CERT
(cert@usit.uio.no) dersom du har tjenester du ønsker bistand til.
Vi undersøker hva som kan gjøres på klient-siden med GPO for
UiO-driftede windows-maskiner. Det er per nå ikke avklart hvilke
tiltak som gjøres for nettlesere på OSX og Linux. Nettlesere på
(ihvertfall) privatmaskiner må i stor grad fikses manuelt av den
enkelte, så vi vil derfor også opprette en informasjonsside for
hvordan dette gjøres, som dere kan henvise deres brukere til.
Vi sender ut lenke til disse sidene så raskt som vi greier å skrive
dem.
Det skal i stor grad være uproblematisk at støtte for SSLv3 skrus
av, men det er mulig at brukere med svært gammel maskin- og
programvare kan oppleve problemer med å logge seg på
web-tjenester. Vi vet at dette først og fremst kan ramme IE6-brukere
men kan ikke utelukke at det er flere. Vi setter pris på rask
beskjed dersom dere har brukere som rammes av dette.
Til slutt: Merk at dette er en svakhet i SSLv3-protokollen og er
således platformuavhengig. Den er heller ikke begrenset til
web-tjenester eller nettlesere. Vi fokuserer på web nå da det utgjør
den største angrepsflaten, men også andre servertjenester og
klientprogrammer som benytter seg av SSL bør fikses så sant det lar
seg gjøre.
-----
A serious flaw in SSLv3 was published early today, facilitating a
possible MITM attack.
The best way to handle this vulnerability is to deactivate SSLv3
support, both server- and client-side,
UiO-CERT will as soon as possible publish guides for how to do this
for the most common webserver (apache) and the most widely used web
browsers. We will send updates when these guides are ready.
If you would like assistance in updating your servers, please
contact UiO-CERT (cert@usit.uio.no).