POODLE Sicherheitsl체cke in SSL gef채hrdet Passw철rter

Bereits vor eini짯gen Mona짯ten schlug ein als Heart짯bleed-Bug bekannt gewor짯de짯ner Pro짯gram짯mier짯feh짯ler in bestimm짯ten Ver짯sio짯nen der Open짯S짯SL-Biblio짯thek hohe Wel짯len. Open짯S짯SL wird h채u짯fig ein짯ge짯setzt f체r ver짯schl체s짯sel짯te Ver짯bin짯dun짯gen zwi짯schen Cli짯ent und Ser짯ver, z.B. bei ver짯schl체s짯sel짯ten Mail짯bo짯xen oder Log짯ins. Der Feh짯ler erm철g짯lich짯te es Angrei짯fern eigent짯lich ver짯schl체s짯sel짯te Daten trotz짯dem auszulesen.

Nun haben For짯scher bei Goog짯le eine neue Sicher짯heits짯l체짯cke ent짯deckt POODLE genannt , und wie짯der geht es um SSL-Ver짯schl체s짯se짯lung. Die짯ses Mal betrifft der Feh짯ler aber nicht neue Open짯S짯SL-Imple짯men짯tie짯run짯gen, son짯dern eine SSL-Vari짯an짯te, die vor 15 Jah짯ren geschrie짯ben wur짯de, aber unter Umst채n짯den auch heu짯te immer noch genutzt wird. Die Rede ist von SSL v3. Zwar wird die짯se Uralt-Ver짯si짯on unter nor짯ma짯len Umst채n짯den kaum noch direkt ver짯wen짯det, jedoch ist sie nach wie vor als Fall짯back in Ser짯ver- und Cli짯ent-Soft짯ware ent짯hal짯ten, so auch bei prak짯tisch allen aktu짯el짯len Brow짯sern, die SSL v3 immer dann nut짯zen, wenn eine Ver짯bin짯dung per TLS fehlschl채gt.

Ein Angrei짯fer kann die L체cke aus짯nut짯zen, indem er eine TLS-Ver짯bin짯dung gezielt st철rt. Dann schal짯ten die Brow짯ser auf SSL v3 zur체ck und der Angrei짯fer kann die L체cke aus짯nut짯zen, um Pass짯w철r짯ter z.B. von Mail짯ac짯counts oder Online-Ban짯king abzufangen.

Work짯around
Rela짯tiv ein짯fach kann die Nut짯zung des Fall짯backs im Inter짯net-Explo짯rer unter짯bun짯den wer짯den. Hier gen체gt es, in den Inter짯net짯op짯tio짯nen unter Erwei짯tert / Sicher짯heit den Haken bei SSL v3 zu entfernen.

ie_poodle_fallback_off

Bei Fire짯fox muss man sich dazu 체ber about:config in die inter짯nen Optio짯nen bege짯ben, den Wert security.tls.version.min suchen und auf den Wert 1 setzen:

ff_poodle_fallback_off

Goog짯le Chro짯me besitzt in der aktu짯el짯len Ver짯si짯on noch kei짯ne M철g짯lich짯keit dazu. Hier muss man sich momen짯tan damit behel짯fen, den Brow짯ser durch Anh채n짯gen des Para짯me짯ters 뱒sl-version-min=tls1 zu star짯ten, bis Goog짯le eine neue Ver짯si짯on ver짯철f짯fent짯licht hat.

Links zum Thema:

  • POODLE Attack and SSLv3 Deployment
  • Dis짯ab짯ling SSLv3 Sup짯port in Browsers
  • Dis짯ab짯ling SSLv3 Sup짯port on Servers