Представлен (http://marc.info/?l=openssl-dev&m=133525318514423&w=2) корректирующий выпуск OpenSSL 0.9.8w (http://openssl.org/) в который внесены (http://www.openssl.org/news/secadv_20120424.txt) дополнительные правки, связанные с устранением представленной (http://www.opennet.me/opennews/art.shtml?num=33644) 19 апреля критической уязвимости. Как оказалось, в ветке OpenSSL 0.9.8 уязвимость была исправлена не полностью и оставались способы эксплуатации проблемы. Проблема наблюдается только в версии  OpenSSL 0.9.8v, выпуски OpenSSL 1.0.1a и 1.0.0i устраняют уязвимость полноценно.

Дополнительно можно выделить выход новых версий почтового сервера Postfix 2.9.2, 2.8.10, 2.7.9 и 2.6.15, в которых реализован обходной путь для обеспечения работы с OpenSSL 1.0.1. В частности, в релизах добавлена возможность отключения протоколов TLSv1.1 и TLSv1.2, поддержка которых представлена в OpenSSL 1.0.1. Для данных протоколов наблюдаются проблемы с совместимостью между разными реализациями, например, при организации соединения между продуктами на базе OpenSSL и некоторыми сервисами Hotmail.

Для отключения TLSv1.1 и TLSv1.2 в  /etc/postfix/main.cf следует указать:

<font color="#461b7e">
        smtp_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
        smtp_tls_mandatory_protocols = !SSLv2, !TLSv1.1, !TLSv1.2

        smtpd_tls_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
        smtpd_tls_mandatory_protocols = !SSLv2, !TLSv1.1, !TLSv1.2
</font>

или отключить только для проблемных хостов,
в /etc/postfix/main.cf :

<font color="#461b7e">      
        smtp_tls_policy_maps = hash:/etc/postfix/tls_policy

</font>

в /etc/postfix/tls_policy:

<font color="#461b7e">
        example.com may protocols=!SSLv2:!TLSv1.1:!TLSv1.2
</font>

URL: http://marc.info/?l=openssl-dev&m=133525318514423&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=33681