[English text (somewhat shortened) below]
Hei
En del har sikkert f?tt med seg at det etter en dag med rykter s?
ble det natt til i dag ble publisert en svakhet i SSLv3 som
muliggj?r MITM-angrep.
Eneste skikkelig fiks er ? avikle bruk av og st?tte for SSLv3, b?de
p? klienter og tjenere.
UiO-CERT har fulgt opp dette tett og sammen med respektive
driftsgrupper allerede skrudd av SSLv3-st?tte i mange av de st?rre
web-tjenestene p? UiO, og vil fortsette kartleggingen og
oppf?lgingen av dette.
Vi vil oppfordre alle som er ansvarlige for server-tjenester ? skru av
st?tte for SSLv3. Vi vil opprette en informasjonsside som vil beskrive
hvordan man gj?r dette for for bl.a. Apache. Vi vil fylle p? siden med
informasjon fortl?pende. Ta ogs? kontakt med UiO-CERT
(cert@usit.uio.no) dersom du har tjenester du ?nsker bistand til.
Vi unders?ker hva som kan gj?res p? klient-siden med GPO for
UiO-driftede windows-maskiner. Det er per n? ikke avklart hvilke
tiltak som gj?res for nettlesere p? OSX og Linux. Nettlesere p?
(ihvertfall) privatmaskiner m? i stor grad fikses manuelt av den
enkelte, s? vi vil derfor ogs? opprette en informasjonsside for
hvordan dette gj?res, som dere kan henvise deres brukere til.
Vi sender ut lenke til disse sidene s? raskt som vi greier ? skrive
dem.
Det skal i stor grad v?re uproblematisk at st?tte for SSLv3 skrus
av, men det er mulig at brukere med sv?rt gammel maskin- og
programvare kan oppleve problemer med ? logge seg p?
web-tjenester. Vi vet at dette f?rst og fremst kan ramme IE6-brukere
men kan ikke utelukke at det er flere. Vi setter pris p? rask
beskjed dersom dere har brukere som rammes av dette.
Til slutt: Merk at dette er en svakhet i SSLv3-protokollen og er
s?ledes platformuavhengig. Den er heller ikke begrenset til
web-tjenester eller nettlesere. Vi fokuserer p? web n? da det utgj?r
den st?rste angrepsflaten, men ogs? andre servertjenester og
klientprogrammer som benytter seg av SSL b?r fikses s? sant det lar
seg gj?re.
-----
A serious flaw in SSLv3 was published early today, facilitating a
possible MITM attack.
The best way to handle this vulnerability is to deactivate SSLv3
support, both server- and client-side,
UiO-CERT will as soon as possible publish guides for how to do this
for the most common webserver (apache) and the most widely used web
browsers. We will send updates when these guides are ready.
If you would like assistance in updating your servers, please
contact UiO-CERT (cert@usit.uio.no).