SSL-3.0-Lücke "POODLE" - testen und beheben

17.10.2014

Zwar erfordert das Ausnutzen der jüngsten Sicherheitslücke im SSL-Protokoll einigen Aufwand, man sollte aber dennoch  SSL 3.0 am besten abschalten.

Die kürzlich gefundene Lücke in SSL 3.0 betrifft nur das Protokoll, aber nicht die kryptografischen Verfahren, die damit verbunden sind. Um sie auszunutzen, muss sich der Angreifer als Man in the Middle in die Kommunikation zwischen Client und Server einschalten und per Manipulation das SSL-Protokoll auf Version 3 downgraden. Mit den neuesten Updates verhindern die Browser-Hersteller das auf Client-Seite, also empfiehlt sich schon hier eine Aktualisierung der Software.

Wer selber einen Server betreibt, sollte zunächst einmal testen, ob dieser ein Fallback auf SSL 3.0 unterstützt. Das lässt sich mit dem Kommandozeilentool des OpenSSL-Pakets recht einfach bewerkstelligen:

openssl s_client -connect Server:443 -ssl3

Um etwa beim Apache-Webserver das SSL3-Protokoll abzuschalten, schließt man es in der SSL-Konfiguration (meist "/etc/apache2/mods-enabled/ssl.conf") mit der "SSLProtocol"-Zeile aus:

SSLProtocol all -SSLv2 -SSLv3

Alternativ ist es auch möglich, alle SSL-Protokolle außer TLS 1.x abzuschalten:

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Ähnlich sieht die Lösung bei Nginx aus:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Auch beim Mailserver Postfix lassen sich die Protokolle auf analoge Weise begrenzen (siehe auch den ADMIN-Tipp "Authentifizierung mit Postfix"):

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Bleibt noch der beliebte IMAP/POP-Server Dovecot, der es ebenso erlaubt, die verwundbaren SSL-Protokolle auszuschließen, etwa in der Datei "/etc/dovecot/local.conf":

ssl_protocols = !SSLv2 !SSLv3
SSL

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Was von TLS übrig bleibt

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite