Die Sicherheitslücke "Poodle" in SSL gefährdet Passwörter

Aus gaiahelp
(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „__TOC__ ==Allgemeines== Sicherheitsexperten von Google haben im Oktober 2010 eine neue Sicherheitslücke entdeckt. Es handelt sich um das seit 15 Jahren eing…“)
 
Zeile 85: Zeile 85:
   
   
[[Datei:poodle08.png]]
+
[[Datei:Outlook06-1.png]]
   
   

Version vom 11. November 2014, 19:01 Uhr

Inhaltsverzeichnis


Allgemeines

Sicherheitsexperten von Google haben im Oktober 2010 eine neue Sicherheitslücke entdeckt. Es handelt sich um das seit 15 Jahren eingesetzte, aber immer noch genutzte SSL-Protokoll 3.0. Der gefundenen Sicherheitsschwäche wurde der Name "Poodle" (auf deutsch: Pudel) gegeben, da sich der Name aus der Funktionsweise der Anfälligkeit ergibt: Padding Oracle On Downgraded Legacy Encryption. Zwar wird SSLv3 unter normalen Umständen kaum noch direkt verwendet, jedoch ist sie nach wie vor als Fallback in Server- und Client-Software enthalten; auch bei allen aktuellen Browsern, die SSLv3 immer dann nutzen, wenn eine Verbindung per TLS fehlschlägt. Ein Angreifer kann die Lücke ausnutzen, indem er eine TLS-Verbindung gezielt stört. Dann schalten die Browser auf SSLv3 zurück und der Angreifer kann die Lücke ausnutzen, um Passwörter z.B. von Mailaccounts oder Online-Banking abzufangen.

Gaia hat SSLv3 am 22.10.2014 deaktiviert. Prinzipiell sollte zum Schutz die SSLv3-Unterstützung in Ihrem Browser oder Mailprogramm deaktiviert bzw. durch TLS ersetzt werden.


Mozilla Firefox

  • In Adresszeile about:config eingeben
  • Suchen Sie den Wert security.tls.version.min und setzen Sie ihn auf auf den Wert 1.

Poodle01.png


Dies funktioniert auch bei der mobilen Version für Android. Wer nichts direkt in den config-Einstellungen ändern will, kann alternativ das Add-on SSL 3.0 oder Version Control installieren.


Internet Explorer

  • Einstellungen / Internetoptionen
  • Öffnen Sie den Reiter Erweitert und entfernen Sie den Haken bei SSL 3.0.
  • Aktivieren Sie TLS


ACHTUNG:
Beim völlig veralteten Internet Explorer 6 (Windows 2000) ist dies nicht möglich, hier hilft nur ein Update. Bei Windows Vista ist TLS deaktiviert. Näheres dazu hier: Explorer 8/9: TLS/SSL-Funktionen sind inaktiv

Poodle02.png


Google Chrome

Für Google Chrome ist die Umstellung nicht ganz so komfortabel vorzunehmen.

  • Kopieren Sie die Verknüpfung von Chrome auf dem Desktop und benennen Sie diese Chrome ohne SSLv3.
  • Öffnen Sie die Eigenschaften der neuen Verknüpfung mit Mausklick rechts. Im Reiter Verknüfung geben Sie im Eingabefeld Ziel den Zusatz -ssl-version-min=tls1 am Ende des Dateipfades ein.

Poodle03.png


Apple Safari

Für Safari ist bisher keine Möglichkeit bekannt, die Unterstützung für SSL 3.0 zu deaktivieren. Sowohl die OS X- als auch die iOS-Variante sind somit anfällig für die Sicherheitslücke.


Java

Wer Java installiert hat, muß auch hier manuell nachbessern:

  • Systemsteuerung - Java - Erweitert
  • Entfernen Sie den Haken bei SSL2.0 und SSL3.0.

Poodle04.png


Mozilla und Google haben angekündigt, die Unterstützung für SSL 3.0 in der nächsten Version ihrer Browser standardmäßig auszuschalten. Der in Blackberry 10.2.2 integrierte Web-Browser ist immun gegen die SSL-Lücke.


Mozilla Thunderbird

  • Extras / Einstellungen
  • Register Allgemein / Button Konfiguration bearbeiten
  • Bestätigen Sie die Warnmeldung Ich werde vorsichtig sein.
  • Suchen Sie den Wert security.tls.version.min und setzen Sie ihn auf auf den Wert 1.

Poodle05.png

Poodle06.png


Microsoft Outlook

  • Datei / Informationen / Kontoeinstellungen.
  • Wählen Sie Ihr Mail-Konto aus der Liste. Mit Doppelklick öffnen Sie die Einstellungen.

Poodle07.png


  • Wählen Sie Weitere Einstellungen und dort das Register Erweitert.
  • Posteingangsserver Port 143 / TLS
  • Postausgangsserver Port 587 / TLS


Outlook06-1.png


Weitere Links zum Thema

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge