I servizi SMTP, WebAdmin, e WorldClient di MDaemon non sono affetti dalla vunerabilità Poodle.
Infatti, per attaccare Worldclient o Webadmin/remoteadmin un attaccante dovrebbe
- essere un man in the middle
- dovrebbe essere in grado di far sì che il browser faccia ripetute richieste al server Worldclient. Per ottenere il cookie della sessione HTTP di Worldclient, l'attaccante dovrebbe iniettare del codice javascript in una delle pagine che l'utente tiene aperte durante la propria sessione webmail. Il javascript dovrebbe fare delle richieste HTTP sul server di Worldclient. Il browser manderebbe tutti i cookies che sono stati immagazzinati per il dominio in questione, nono solo quelli relativi alla sessione in corso.
- dovrebbe essere in grado di identificare la posizione della parte di dati che intende decrittare. per un cookie HTTP, l'attaccante dovrebbe cambiare la lunghezza dell'URL che viene richiesto. Infatti, l'URL viene prima del cookie in una richiesta HTTP.
- Servono in media 256 sessioni HTTP per decifrare ogni singolo byte della sessione HTTP, si tratterebbe di 3328 (cioè, 256 x 13) sessioni.
- Inoltre, Worldclient e WebAdmin/RemoteAdmin richiedono un ID di sessione oltre ad un cookie HTTP, e non c'è modo di ottenere questo ID tramite poodle: altre finestre dello stesso browser non possono accedervi, a differenza di quello che succede con un cookie HTTP
Per quanto riguarda invece SMTP, non c'è modo per un attaccante di identificare la posizione nella quale è scritta la password. Però, a meno che il client non verifichi l'identità del certificato, un man in the middle potrebbe usare il suo certificato per dectiptare i dati.
Disabilitare SSLv3 è comunque una buona idea, ma può causare problemi di connessione con alcuni server, che dovrebbero essere aggiunti alla whitelist SSL di MDaemon (Sicurezza -> Impostazioni sicurezza -> lista bianca STARTTLS).
Per disattivare SSLv3 si può usare un software gratuito come IISCrypto.
