SSL-3.0-Lücke "POODLE" - testen und beheben

17.10.2014

Zwar erfordert das Ausnutzen der jüngsten Sicherheitslücke im SSL-Protokoll einigen Aufwand, man sollte aber dennoch  SSL 3.0 am besten abschalten.

Die kürzlich gefundene Lücke in SSL 3.0 betrifft nur das Protokoll, aber nicht die kryptografischen Verfahren, die damit verbunden sind. Um sie auszunutzen, muss sich der Angreifer als Man in the Middle in die Kommunikation zwischen Client und Server einschalten und per Manipulation das SSL-Protokoll auf Version 3 downgraden. Mit den neuesten Updates verhindern die Browser-Hersteller das auf Client-Seite, also empfiehlt sich schon hier eine Aktualisierung der Software.

Wer selber einen Server betreibt, sollte zunächst einmal testen, ob dieser ein Fallback auf SSL 3.0 unterstützt. Das lässt sich mit dem Kommandozeilentool des OpenSSL-Pakets recht einfach bewerkstelligen:

openssl s_client -connect Server:443 -ssl3

Um etwa beim Apache-Webserver das SSL3-Protokoll abzuschalten, schließt man es in der SSL-Konfiguration (meist "/etc/apache2/mods-enabled/ssl.conf") mit der "SSLProtocol"-Zeile aus:

SSLProtocol all -SSLv2 -SSLv3

Alternativ ist es auch möglich, alle SSL-Protokolle außer TLS 1.x abzuschalten:

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Ähnlich sieht die Lösung bei Nginx aus:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Auch beim Mailserver Postfix lassen sich die Protokolle auf analoge Weise begrenzen (siehe auch den ADMIN-Tipp "Authentifizierung mit Postfix"):

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Bleibt noch der beliebte IMAP/POP-Server Dovecot, der es ebenso erlaubt, die verwundbaren SSL-Protokolle auszuschließen, etwa in der Datei "/etc/dovecot/local.conf":

ssl_protocols = !SSLv2 !SSLv3
SSL
comments powered by Disqus
Mehr zum Thema

Was von TLS übrig bleibt

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite