Home | Impressum | Sitemap | KIT
ATIS Logo

Kontakt
Abteilung Technische Infrastruktur

Am Fasanengarten 5
Geb. 50.34 / Raum 007

D-76131 Karlsruhe

Tel.: 0721 608 - 44321
Fax: 0721 608 - 46699

atisFqx1∂lists kit edu

Wegbeschreibung

_______________________

 

Fakultät für Informatik

_______________________

 

Wartungs- und Störungsmeldungen

SSL-Poodle-Bug

Seit langem gilt die SSL-Verschlüsselung Version3 als nicht mehr sicher. Seit dem 14.10 sind Verfahren bekannt um beim Verbindungsaufbau zwischen Client und Server sich auf diese Version zu einigen.

SSLv3 ist zwar ein sehr alter Standard aber von vielen Clients und Servern beim Verbindungsaufbau als Fallback noch immer unterstützt.

Ein solcher Fallback kann durch einen aufgetauchten Exploit über eine Man-in-the-Middle-Attacke allerdings von einem Angreifer provoziert werden und der Client und der Server reden dann über das leicht knackbare SSLv3 Protokoll.

Hiervon sind in allererste Linie verschlüsselte Verbindungen zwischen Browser und Webserver betroffen.

Hier ist von Ihrer Seite dringend Handlungsbedarf angesagt, in dem Sie Ihrem Webserver diesen Fallback verbieten.

Beim Apachen geschieht dies durch ein Einfügen der Zeile

SSLProtocol All -SSLv2 -SSLv3 

in jeden einzelnen(!) SSL-fähigen virtuellen Host Ihrer Webserver. Damit wird nur noch das als derzeit sicher angesehene TLS-Protokoll verwendet. Als einzigen Nachteil sperren Sie damit alle Windows-Nutzer aus, die noch mit dem Uralt Internet Explorer 6.x unterwegs sind. Danach ist der Apache neu zu starten.

Betreiben Sie weitere SSL-faehigen Dienste so sind diese ebenfalls betroffen.

Beachten Sie dazu auch jeweils die Advisories Ihrer Softwarelieferanten. Da die Lücke wohl im Protokoll an sich liegt, wird es wohl auch keine Patches dagegen geben, sondern es bleibt eben nur SSLv3 (und v2) abzuschalten

Die zentralen Web- und Mailserver der ATIS unterstützen seit dem 15.10. nachmittags kein SSLv3 bzw. SSLv2 mehr.

Details dazu finden Sie z.B. bei Heise unter

http://www.heise.de/newsticker/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html
http://www.heise.de/newsticker/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html
http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html

Konkret zu RedHat und CentOS basierte Systeme finden Sie information unter

https://access.redhat.com/articles/1232123

dort mit konkreten Handlungsanweisungen für einzelne Dienste.

Achtung: bei RedHat / CentOS steht per Default

SSLProtocol All -SSLv2

in der ssl.conf. In diesem Fall muss man diese Zeile natürlich ändern.

Auf der Seite des DFN-Certs

https://portal.cert.dfn.de/adv/DFN-CERT-2014-1354/

wird auf entsprechende Advisories von Microsoft verlinkt.

Auf der Seite
https://www.ssllabs.com/ssltest/
können Sie die URL Ihres Webservers eingeben, um zu schauen ob Ihr Server betroffen ist.

Auch betroffen sind Ihre Browser die nach aussen auf noch unsichere Webserver zugreifen. Hier kann Browserseitig dann SSLv3 verhindert werden. Details dazu auch auf obigen Seiten.

Auf der Seite https://www.poodletest.com/ könen Sie schnell und einfach testen, ob ihr Browser betroffen ist.

Abschalten von SSL im Firefox:   about:config und dort den Schlüssel security.tls.version.min von "0" auf "1" ändern

ACHTUNG:
Wer den Browser entsprechend absichert und SAP/SRM verwendet, kann dann SAP/SRM nicht mehr nutzen!