Sicherheitslücke in SSL 3.0

15.10.2014

Eine Fehler in SSL 3.0 eröffnet eine neue Sicherheitslücke, die allerdings weniger schwer wiegt als Heartbleed.

Security-Experten von Google haben eine neue Sicherheitslücke in SSL entdeckt. Das Problem wird akut, wenn das 15 Jahre alte SSL-3-Protokoll als Fallback von Software angeboten wird, die TLS- und SSL-Verschlüsselung anbietet. Empfohlen wird deshalb, als Fallback-Protokoll statt SSL 3.0 die Option TLS_FALLBACK_SCSV einzusetzen.

Der in dem Paper beschriebene Angriff firmiert unter dem Namen "POODLE Attack", der Bug trägt die Tracking-Nummer CVE-2014-3566. Ein Exploit würde so funktionieren, dass ein Angriffer einen Server zum Downgrade auf das verwundbare Protokoll bringt und dann mit einem Man-in-the-Middle-Setup unter Umständen Daten mitlesen kann, etwa Cookies, die zur Authentifizierung dienen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sicherheitslücke in Bugzilla

Eine Sicherheitslücke in der Bugtracking-Software erlaubt unberechtigten Zugriff auf vertrauliche Daten. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021