Schwachstelle in SSL 3.0

Wie man POODLE den Zahn zieht

| Autor / Redakteur: Ivan Ristic* / Stephan Augsten

Die POODLE-Schwachstelle lässt sich mit verhältnismäßig einfachen Hilfsmitteln in den Griff bekommen.
Die POODLE-Schwachstelle lässt sich mit verhältnismäßig einfachen Hilfsmitteln in den Griff bekommen. ( © Baronb - Fotolia)

Schwachstellen auf Protokollebene sind immer die gefährlichsten. Nach mehr als einer Woche hartnäckiger Gerüchte wurde am 14. Oktober die jüngste Sicherheitslücke in SSL 3.0 bekannt gegeben, vor der sich alle gefürchtet hatten. POODLE lässt sich aber verhältnismäßig einfach in den Griff bekommen, sofern man nicht an SSL 3.0 hängt.

Der sogenannte POODLE-Angriff (CVE-2014-3566) richtet sich gegen den CBC-Verschlüsselungsmodus in der Form, wie er im Protokollstandard SSL 3.0 implementiert ist. Andere Protokolle sind nicht anfällig, da dieser Bereich in TLS 1.0 besser abgesichert wurde.

Vom Konzept her ähnelt diese Sicherheitslücke stark dem BEAST-Exploit von 2011. Um POODLE erfolgreich ausnützen zu können, muss der Angreifer in der Lage sein, bösartigen JavaScript-Code in den Browser des Opfers einzuschleusen sowie den verschlüsselten Netzwerkverkehr on-the-wire zu überwachen und zu manipulieren.

Ein Man-in-the-Middle-Angriff ist dabei zwar kompliziert, aber doch leichter auszuführen als bei BEAST, weil keine speziellen Browser-Plugins erforderlich sind. Wenn Sie Einzelheiten erfahren möchten, finden Sie sie in diesem kurzen Google Paper oder in Adam Langleys Blog-Post.

Änderungen bei SSL Labs

Wir haben an der Website von SSL Labs drei Verbesserungen vorgenommen, um angemessen auf POODLE-Anfälligkeiten testen und davor warnen zu können:

  • Warnungen vor SSL-3-Unterstützung und Anfälligkeit für POODLE
  • Test auf TLS_FALLBACK_SCSV
  • neuer Client-Test, der die Unterstützung für SSL 3.0 ermittelt

Zum jetzigen Zeitpunkt erhält ein Server, der für POODLE anfällig ist, die Bewertung C. Wahrscheinlich werden wir diese Bewertung aber demnächst ändern, nachdem wir alle unsere Optionen sorgfältig geprüft haben.

Was jetzt?

POODLE ist eine Schwachstelle auf Protokollebene, die sich nicht einfach beheben lässt. Man könnte zwar vielleicht versuchen, sie ähnlich wie bei BEAST zu entschärfen, doch die Browser-Anbieter scheinen an dieser Vorgehensweise nicht interessiert zu sein. Adam erklärte, dass Chrome diesen Weg nicht einschlagen wird.

Die Firefox-Entwickler verlautbarten, dass SSL 3.0 in Firefox 34 abgeschaltet werden soll. Und das sind gute Nachrichten. Wir haben traditionell Schwierigkeiten damit, alte Protokolle loszulassen. Doch da SSL 3.0 nicht sehr oft genutzt wird und POODLE gefährlich genug ist, sieht es so aus, als ob wir diese alte Protokollversion bald werden ausmustern können. Tatsächlich haben einige CDNs sie bereits abgeschaltet.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43020247 / Verschlüsselung)