Die Sicherheitslücke "Poodle" in SSL gefährdet Passwörter

Aus gaiahelp
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis


Allgemeines

Sicherheitsexperten von Google haben im Oktober 2010 eine neue Sicherheitslücke entdeckt. Es handelt sich um das seit 15 Jahren eingesetzte, aber immer noch genutzte SSL-Protokoll 3.0. Der gefundenen Sicherheitsschwäche wurde der Name "Poodle" (auf deutsch: Pudel) gegeben, da sich der Name aus der Funktionsweise der Anfälligkeit ergibt: Padding Oracle On Downgraded Legacy Encryption. Zwar wird SSLv3 unter normalen Umständen kaum noch direkt verwendet, jedoch ist sie nach wie vor als Fallback in Server- und Client-Software enthalten; auch bei allen aktuellen Browsern, die SSLv3 immer dann nutzen, wenn eine Verbindung per TLS fehlschlägt. Ein Angreifer kann die Lücke ausnutzen, indem er eine TLS-Verbindung gezielt stört. Dann schalten die Browser auf SSLv3 zurück und der Angreifer kann die Lücke ausnutzen, um Passwörter z.B. von Mailaccounts oder Online-Banking abzufangen.

Gaia hat SSLv3 am 22.10.2014 deaktiviert. Prinzipiell sollte zum Schutz die SSLv3-Unterstützung in Ihrem Browser oder Mailprogramm deaktiviert bzw. durch TLS ersetzt werden.


Mozilla Firefox

  • In Adresszeile about:config eingeben
  • Suchen Sie den Wert security.tls.version.min und setzen Sie ihn auf auf den Wert 1.

Poodle01.png


Dies funktioniert auch bei der mobilen Version für Android. Wer nichts direkt in den config-Einstellungen ändern will, kann alternativ das Add-on SSL 3.0 oder Version Control installieren.


Internet Explorer

  • Einstellungen / Internetoptionen
  • Öffnen Sie den Reiter Erweitert und entfernen Sie den Haken bei SSL 3.0.
  • Aktivieren Sie TLS


ACHTUNG:
Beim völlig veralteten Internet Explorer 6 (Windows 2000) ist dies nicht möglich, hier hilft nur ein Update. Bei Windows Vista ist TLS deaktiviert. Näheres dazu hier: Explorer 8/9: TLS/SSL-Funktionen sind inaktiv

Poodle02.png


Google Chrome

Für Google Chrome ist die Umstellung nicht ganz so komfortabel vorzunehmen.

  • Kopieren Sie die Verknüpfung von Chrome auf dem Desktop und benennen Sie diese Chrome ohne SSLv3.
  • Öffnen Sie die Eigenschaften der neuen Verknüpfung mit Mausklick rechts. Im Reiter Verknüfung geben Sie im Eingabefeld Ziel den Zusatz -ssl-version-min=tls1 am Ende des Dateipfades ein.

Poodle03.png


Apple Safari

Für Safari ist bisher keine Möglichkeit bekannt, die Unterstützung für SSL 3.0 zu deaktivieren. Sowohl die OS X- als auch die iOS-Variante sind somit anfällig für die Sicherheitslücke.


Java

Wer Java installiert hat, muß auch hier manuell nachbessern:

  • Systemsteuerung - Java - Erweitert
  • Entfernen Sie den Haken bei SSL2.0 und SSL3.0.

Poodle04.png


Der in Blackberry 10.2.2 integrierte Web-Browser ist immun gegen die SSL-Lücke.


Mozilla Thunderbird

  • Extras / Einstellungen
  • Register Allgemein / Button Konfiguration bearbeiten
  • Bestätigen Sie die Warnmeldung Ich werde vorsichtig sein.
  • Suchen Sie den Wert security.tls.version.min und setzen Sie ihn auf auf den Wert 1.

Poodle05.png

Poodle06.png


Microsoft Outlook

  • Datei / Informationen / Kontoeinstellungen.
  • Wählen Sie Ihr Mail-Konto aus der Liste. Mit Doppelklick öffnen Sie die Einstellungen.

Poodle07.png


  • Wählen Sie Weitere Einstellungen und dort das Register Erweitert.
  • Posteingangsserver Port 143 / TLS
  • Postausgangsserver Port 587 / TLS


Outlook06-1.png


Weitere Links zum Thema

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge