<div dir="ltr"><div><div>You should consider implementation of TLS_FALLBACK_SCSV [1] too.<br></div>Be sure the patch for CVE-2014-3568 is applied to your OpenSSL library.<br><br></div>I was in touch with new ejabberd maintainers and they don't have time for backporting all the packages for wheezy. It's a lot of work due to complicated dependencies. I started with the work, but didn't have time to finish it either. Can come back to you once available.<br><div><div><br>[1] <a href="https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00">https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00</a><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 16, 2014 at 8:08 PM, Randy Bush <span dir="ltr"><<a href="mailto:randy@psg.com" target="_blank">randy@psg.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Well, the approach (patch and rebuild rather than jumping to 14.07)<br>
may be reasonable, but the suggested patch is wrong.  The file in<br>
question is ejabberd/src/tls/tls_drv.c.  The suggested patch is:<br>
<span class=""><br>
> - #define CIPHERS "DEFAULT:!EXPORT:!LOW:!SSLv2"<br>
> + #define CIPHERS "DEFAULT:!EXPORT:!LOW:!SSLv2:!SSLv3"<br>
<br>
</span>which changes the cipher list, not the protocol list.<br>
<br>
I think the right patch, if we take this path, is:<br>
<br>
-       SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2|SSL_OP_NO_TICKET);<br>
+       SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2|SSL_OP_NO_SSLv3|SSL_OP_NO_TICKET);<br>
<br>
Granted, one might //also// want to tweak the cipher list as long as<br>
one has the cover off, but Poodle is about protocol, not cipher.<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
ejabberd mailing list<br>
<a href="mailto:ejabberd@jabber.ru">ejabberd@jabber.ru</a><br>
<a href="http://lists.jabber.ru/mailman/listinfo/ejabberd" target="_blank">http://lists.jabber.ru/mailman/listinfo/ejabberd</a><br>
</div></div></blockquote></div><br></div>