top

Newsletter

Reaktionen unserer Hersteller auf die Sicherheitslücke Poodle - Open SSL 3.0 Threat

Google hat eine schwerwiegende Sicherheitslücke im Verschlüsselungsprotokoll SSL 3.0 entdeckt.

Demnach kann die Schwachstelle Angreifern ermöglichen, eigentlich geschützte Kommunikationsinhalte, die über https-Verbindungen versandt werden, im Klartext mitzulesen. Die Lücke wird von ihren Entdeckern Poodle genannt, das ist eine Abkürzung für „Padding Oracle On Downgraded Legacy Encryption“.
Poodle erlaubt es, Cookies einer aktuellen Verbindung abzugreifen. Das kann beim Einloggen in geschützte Profile ausgenutzt werden, etwa bei E-Mail-Diensten oder beim Online-Banking. Angreifern gelingt dies durch die Störung einer bestehenden Internetverbindung. Kommt es zu solch einer Störung, greifen beinahe sämtliche Browser auf ältere, vermeintlich verlässliche Protokolle zurück - wie eben SSL 3.0. Und ab diesem Moment werden sie anfällig für Attacken.

Zusammengefasst steht fest:
Ist SSL 2.0 und SSL 3.0 auf Seiten des Browsers deaktiviert, kann die Schwachstelle nicht ausgenutzt werden.
Ist SSL 2.0 und SSL 3.0 auf Seiten des Web-Servers deaktiviert, kann die Schwachstelle nicht ausgenutzt werden.
Unterstützt eine der beiden Seiten nur SSL 3.0, ist ein Schutz gegen die Attacke nicht möglich.

Auch einige der Netzwerkkomponenten unserer Hersteller sind leider betroffen, da auch hier die SSL Verschlüsselung genutzt wird. Nachfolgend erhalten Sie eine Liste mit den Komponenten die betroffen sind und was zu tun ist um den Threat zu umgehen oder zu eliminieren:

1. Extreme Networks, folgende Produkte:
Extreme XOS – alle Produkte
- Kein Workaround möglich, FIX im Januar 2015
X-Series Secure Core Router – Nutzt kein SSL, daher keine Probleme
S, SSA, K, N & 7100 Series Switche - Nutzt kein SSL, daher keine Probleme
A, B, C, D, G & I Series Fixed Switche – alle Produkte
- Workaround: Disable Webmanagement
- FIX, noch kein Datum bekannt
Netsight/NAC/Purview – alle Produkte
- FIX Release 6.2, Januar 2015
Identifi Wireless – alle Produkte
- Update auf Version 9.12.04 behebt das Problem

2. PRTG von Pässler – Network Monitor
- Update auf die neueste Version 14.4.13.3771

3. Fortinet – alle Produkte
- Disable SSLv3 in der CLI
- FIX, noch kein Datum bekannt

4. Zertificon – Secure Mail Gateway Appliance OS
- Patch des Appliance OS auf Version 4.x

5. Cisco - Cisco ASA, Cisco Security Manager, Cisco Anyconnect Client, Cisco WLAN Controller
- Workaround: Disable SSLv3
- FIX, noch kein Datum bekannt

Bitte beachten Sie dass Sie für den Bezug von Firm- und Software Updates teilweise gültige Support Verträge benötigen.

Benötigen Sie Unterstützung? Bitte kontaktieren Sie uns, wie stehen Ihnen sehr gerne zur Verfügung.

IKS Informations- und Kommunikations Systeme GmbH Copyright © 2020
Alle Rechte vorbehalten
Impressum
Datenschutzbestimmungen
Webdesign:
Zensys – Medienagentur
Str Ferdinand-Tietz-Strasse 8
Tel +49 (0)951 98266-0
Web www.iks-network.com
Vertretungsber. Geschäftsführer
PLZ 96052 Bamberg
Fax +49 (0)951 98266-28
Mail info@iks-network.com
Thomas Lang, Markus Zillig