Доступны корректирующие выпуски почтового сервера Postfix - 3.0.2, 2.11.6, 2.10.8 и 2.9.14, в которых внесено принципиальное с точки зрения безопасности изменение - прекращена поддержка протоколов SSLv2 и SSLv3, а также экспортных наборов шифров. При этом в анонсе отмечается, что прекращение поддержки слабых шифров не стоит воспринимать как повышение безопасности TLS, без принятия мер по улучшению средств аутентификации серверов, таких как Secure DNS и TLSA.
Напомним, что протокол SSLv3 был скомпрометирован осенью прошлого года, после выявления атаки POODLE (CVE-2014-3566), позволяющей атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies, которые могут содержать идентификаторы сеанса и коды доступа, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0. Экспортные шифры были скомпрометированы в результате атаки FREAK, позволяющей выполнить дешифровку трафика, воспользовавшись слабым эфемерным ключом RSA.
|