SSLv3/POODLE: neue Sicherheitslücke in SSL

  • Ich verweise kurz und knapp auf einen Artikel bei Heise Online: Poodle: Experten warnen vor Angriff auf Internet-Verschlüsselung.


    Kurz gesagt: das SSLv3-Protokoll ist verwundbar, Experten empfehlen dieses auf Servern zu deaktivieren.


    Wir arbeiten bereits an einem LiveConfig-Update, um alle von LiveConfig verwalteten Dienste entsprechend zu konfigurieren. Ich gebe Bescheid sobald wir das Update fertiggestellt & getestet haben (vorraussichtlich noch heute Abend).


    Viele Grüße


    -Klaus Keppler

  • Super, danke. Deswegen wollte ich gerade nachfragen.


    Eine Bitte: Ich verwende z.B. bei Postfix die noupdate-Option, wäre es möglich, die Änderungen einzeln zu dokumentieren? Sonst muss ich erst noupdate rausnehmen und dann ein diff machen. Mit einer Doku könnte ich einfach die Änderungen übernehmen.

  • So, die Änderungen sind alle eingecheckt und werden nun von unserem Jenkins compiliert & getestet (das dauert noch eine Weile...). Sobald die Pakete fertig sind gebe ich noch mal Bescheid.


    Die geänderten Einstellungen sind:

    • Apache:
      [highlight]SSLProtocol ALL -SSLv2 -SSLv3[/highlight]
    • nginx:
      [highlight]ssl_protocols TLSv1;[/highlight] (bzw. [highlight]ssl_protocols TLSv1 TLSv1.1 TLSv1.2;[/highlight] mit nginx 1.1.13+ und 1.0.12+)
    • Postfix:
      [highlight]smtpd_tls_protocols = !SSLv2, !SSLv3[/highlight] (Postfix v2.6+)
      [highlight]smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3[/highlight] (Postfix v2.5)
      [highlight]smtpd_tls_mandatory_protocols = TLSv1[/highlight] (Postfix <v2.5)
    • Dovecot:
      Dovecot 1.x: SSLv3 kann nicht abgeschaltet werden (s.u.)
      Dovecot ab 2.1: [highlight]ssl_protocols = !SSLv2 !SSLv3[/highlight]
    • ProFTPd:
      [highlight]TLSProtocol TLSv1[/highlight]
    • vsftpd:
      keine Änderung notwendig, SSLv3 war bereits deaktiviert (ssl_sslv3=NO)


    Bei Dovecot 1.x/2.0 lässt sich SSLv3 nicht abschalten (zumindest nicht ohne den Code zu patchen). Das ist aber auch nicht dramatisch, da die POODLE-Attacke voraussetzt, dass der Angreifer die Daten beeinflussen kann, die zum Server gesendet werden - wie auch bei den BEAST- und CRIME-Angriffen. Das klappt in der Praxis nur dann mit realistischem Aufwand, wenn man in eine Webseite JavaScript-Code einschleust und den Datenverkehr komplett abhören kann (z.B. mit WLAN-Proxies). Da bei POP3/IMAP-Zugriffen praktisch kein Einfluss auf die vom Client zum Server gesendeten Daten genommen werden kann, ist ein Angriff dort (nach derzeitigem Wissensstand) praktisch nicht möglich.


    Insgesamt ist der POODLE-Angriff ernst zu nehmen, aber nicht annähernd so schlimm wie Heartbleed oder Shellshock. Es handelt sich um einen Angriff auf den Client (konkret: auf den Webbrowser), der auch nur dann möglich ist, wenn man die komplette Kommunikation zwischen Client und Server "abhören" kann (insbes. also bei WLANs).

  • Danke. Auch ohne NOUPDATE macht man diese Änderungen wohl schneller per Skript als sich auf jedem verwalteten Server manuell durchzuklicken, da wird man ja wahnsinnig...



    [*]Postfix:
    [highlight]smtpd_tls_protocols = !SSLv2, !SSLv3[/highlight] (Postfix v2.6+)
    [highlight]smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3[/highlight] (Postfix v2.5)
    [highlight]smtpd_tls_mandatory_protocols = TLSv1[/highlight] (Postfix <v2.5)


    Was ist mit
    http://www.postfix.org/postconf.5.html#smtp_tls_protocols

  • Danke. Auch ohne NOUPDATE macht man diese Änderungen wohl schneller per Skript als sich auf jedem verwalteten Server manuell durchzuklicken, da wird man ja wahnsinnig...


    CLI kommt ja auch bald. Beim nächsten SSL-Desaster reicht dann (voraussichtlich) so etwas ähnliches wie

    Code
    aptitude update
    aptitude upgrade
    liveconfig --cli reconfigure web mail ftp


    Zitat


    Hmm, stimmt - sollte der Vollständigkeit halber auch mit dazu. Zwar ist es schwer bis unmöglich, einen SMTP-Client mit POODLE anzugreifen, aber wer weiß was da noch kommt...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!