Hinweise zur Sicherheitslücke POODLE in SSL v3

Avatar

Anfälligkeit für Man-in-the-Middle-Angriffe

Haben Sie bereits von der Sicherheitslücke POODLE im Verschlüsselungsprotokoll SSL v3 gehört? Diese betrifft alle Systeme, die Verbindungen über SSL v3 entgegennehmen. Im Gegensatz zu den vorherigen "großen" Sicherheitslücken Shellshock und Heartbleed ist der aktuelle Bug als nicht ganz so kritisch anzusehen, da er nur durch eine spezielle Angriffstechnik, nämlich die sog. Man-in-the-Middle-Attacke, ausgenutzt werden kann.

Hierbei muss der Angreifer bereits Teile der Infrastruktur kontrollieren oder ungesicherten Zugang erhalten (z.B. durch ein offenes WLAN-Netz). Es ist kein Remote-Angriff auf den Server möglich. Somit wird nicht der Server als solcher, sondern der Benutzer und dessen Zugang angegriffen.

Auf der folgenden Website habe Sie die Möglichkeit zu prüfen, ob Ihr Webserver von POODLE betroffen ist.

Wir deaktivieren den Support für SSL v3 für Hosting-Kunden

Um Ihr System gegen Angriffe zu schützen, empfehlen wir Ihnen die Deaktivierung des Supports für SSL v3 auf dem betroffenen Webserver. Bitte beachten Sie, dass mit der Deaktivierung die Unterstützung für die Browser Internet Explorer 6 (Veröffentlichung 2001) und Opera 4 (Veröffentlichung 2000) entfällt. Darüber hinaus sollten Sie Maßnahmen treffen, um den SSL-v3-Support auch clientseitig zu deaktivieren.

Läuft Ihr System im Rechenzentrum von //SEIBERT/MEDIA? Dann haben Sie bereits eine E-Mail mit Hinweisen von uns erhalten. Unser Team beginnt am Montag, den 27. Oktober, mit der Deaktivierung des Supports für SSL v3 in der kompletten Infrastruktur. Wie bereits erwähnt, ist es Benutzern von IE6 und Opera 4 damit nicht mehr möglich, Ihre Website, Ihr Wiki, Ihr JIRA o.ä. zu erreichen. Damit Sie in der Lage sind zu prüfen, ob Zugriffe von dieser Gruppe zu vernachlässigen sind, räumen wir Ihnen eine Woche Reaktionszeit ein. Innerhalb dieser Woche können Sie uns gerne darüber informieren, wenn SSL v3 auf Ihrem Webserver nicht deaktiviert werden soll.

Für Fragen stehen wir Ihnen natürlich jederzeit gerne zur Verfügung!

Weiterführende Infos

Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen


Mehr über die Creative-Commons-Lizenz erfahren

ACHTUNG!
Unsere Blogartikel sind echte Zeitdokumente und werden nicht aktualisiert. Es ist daher möglich, dass die Inhalte veraltet sind und nicht mehr dem neuesten Stand entsprechen. Dafür übernehmen wir keinerlei Gewähr.

Schreibe einen Kommentar