Correção de vulnerabilidade logjam em correio

2

O site weakdh.org explica como corrigir o postfix contra o fraco ataque Diffie-Hellman chamado "logjam".

Mas eu não tenho que consertar o correio também? Ou eu tenho que migrar para o dovecot para ser seguro para o logjam?

    
por rubo77 21.05.2015 / 09:10

2 respostas

2

Eu encontrei esta postagem no blog que explica isso muito bem.

Para acelerar, verifique primeiro se você já tem bons parâmetros em /etc/ssl/certs/dhparams.pem check com

openssl dhparam -text -noout -in /etc/ssl/certs/dhparams.pem

se assim for, copie-os para /etc/courier/dhparams.pem com

cp -a /etc/ssl/certs/dhparams.pem /etc/courier/dhparams.pem

caso contrário, gere com

openssl dhparam -out /etc/courier/dhparams.pem 4096

O Courrier versão 4.15 remove o parâmetro TLS_DHCERTFILE dos arquivos de configuração imap e pop3d. Apenas parâmetros DH e parâmetros DH, são lidos a partir do novo arquivo TLS_DHPARAMS (e a outra funcionalidade de TLS_DHCERTFILE, para certificados DSA, é mesclada em TLS_CERTFILE). Após o upgrade, execute o script mkdhparams para criar um novo arquivo TLS_DHPARAMS.

Portanto, verifique sua versão instalada com

 apt-cache show courier-imap-ssl|grep Version

Se você tiver pelo menos a versão 4.15, edite agora /etc/courier/imapd-ssl e defina

TLS_DHPARAMS=/etc/courier/dhparams.pem

restart courier-imap-ssl:

/etc/init.d/courier-imap-ssl restart

verifique a conexão com a versão 1.0.2a do openssl.

openssl s_client -host <yourhost.org> -port 993
    
por 09.06.2015 / 14:51
0

Ao usar courier, você precisa garantir que os parâmetros Diffie-Hellman em /etc/courier/dhparams.pem sejam gerados com mais do que o padrão 768 bit. Eu acho que 2048 ou 4096 bits deve fazer.

Em vez de usar mkdhparams para gerar dhparams.pem (com apenas 768 bits por padrão!), você pode fazer assim:

openssl dhparam -out /etc/courier/dhparams.pem 2048

service courier-mta-ssl restart 

Aqui estão algumas informações (em alemão) e algumas outras leituras sobre como mitigar o Logjam- ataque ao Courier-MTA.

    
por 06.06.2015 / 20:01