Zur Abwechslung steht statt SSL nun TLS 1.2 im Mittelpunkt. Betroffen sind etwa Geräte von F5 Networks.
Nach der im Oktober entdeckten POODLE-Sicherheitslücke in SSL 3.0 stehen nun bestimmte Implementationen von TLS 1.2 im Mittelpunkt des Interesses, die eine ähnliche Schwachstelle aufweisen. Wie der Google-Security-Experte Adam Langley in einem Blog-Eintrag ausführt, funktioniert das Padding in TLS 1.2 ähnlich wie in SSL 3.0 und deshalb wohl ebenfalls verwundbar, wenn eine Implementierung SSL3-Decodierfunktionen nutzt.
Die ist anscheinend bei vielen Geräten von F5-Networks der Fall, die etwa Load Balancer und Traffic Manager vertreiben. Für den konkreten Fall, der die Tracking-Nummer CVE-2014-8730 trägt, bietet F5 eine Reihe von Patches an. Das Problem tritt auf, wenn eine Verbindung mit TLS 1.x CBC-Schlüssel verwendet. Anwendern, die ihre Geräte nicht aktualisieren können, rät F5 zur Verwendung von TLSv1.2 mit AES-GCM-Schlüsseln, wenn das Betriebssystem sie unterstützt. Alternativ können bis zu einem Upgrade auch RC4-Schlüssel verwendet werden.
Der Storage-Stack verspricht mit TLS höhere Performance als mit IPsec.