CCS Injection Vulnerability (CVE-2014-0224) in Zimbra 8 schließen

Wie auch schon bei der Heartbleed Sicherheitslücke , ist es notwendig durch den Austausch der von Zimbra mitgebrachten SSL-Libraries die Sicherheitslücken zu schließen. Diese Sicherheitslücke betrifft nur Zimbra 8, die vorhergehenden Versionen sind nicht betroffen. Als erstes wird Zimbra heruntergefahren: ~# su – zimbra ~$ zmcontrol stop Nun wird das von Zimbra zur Verfügung gestellte […]

Heartbleed TLS-Bug in Zimbra 8 schließen

Auch der Zimbra Collaboration Server in Version 8 ist von der Heartbleed Sicherheitslücke in OpenSSL betroffen. Anders als bei anderer Software verwendet Zimbra allerdings nicht die OpenSSL Installation der Distribution, sondern bringt eigene libssl und libcrypto mit. Ab Zimbra 8.0.8 wird die Lücke über die normalen Installationsbundles geschlossen werden, für alle Nutzer einer Zimbra Version […]

HTTP Strict Transport Security mit Apache

HTTP Strict Transport Security (HSTS) ist ein Verfahren, dass es einem Angreifer erschweren soll einen Nutzer von einer HTTPS gesicherten auf eine ungesicherte Seite der gleichen Domain umzuleiten. Solche Angriffe sind dann interessant, wenn man sich in dem gleichem WLAN-Netzwerk wie das Opfer befindet, um dann die Session Cookies abzugreifen und die Sitzung zu übernehmen […]

Subversion Server mit Apache

Subversion ist eines der verbreitetsten Versionsverwaltungsysteme, auch wenn es mittlerweile durch dezentrale Verfahren wie zum Beispiel Git oder Mercurial in Bedrängnis kommt. Um einen Subversion Server zu betreiben gibt es verschiedene Protokolle, welche genutzt werden können. Typischerweise empfehle ich jedoch, die Repositorys SSL geschützt über einen Apache auszuliefern. Obwohl das HTTP Verfahren langsamer als die […]