GlobalSign Blog

10 Dez 2014

Poodle Schwachstelle betrifft nach SSLv3 auch TLS 1.0 und 1.1

Als wir im Oktober das erste Mal über die POODLE (Padding Oracle On Downgraded Legacy Encryption) Schwachstelle berichtet haben, ging man davon aus, dass nur das SSLv3 Protokoll betroffen ist.

Allerdings wurde nun festgestellt, dass die Schwachstelle, die es Hackern ermöglicht Daten zwischen dem Browser eines Benutzers und einer SSL-gesicherten Website abzufangen und zu entschlüsseln, auch bestimmte TLS 1.0 und TLS 1.1 Versionen betrifft.

Die Schwachstelle betrifft Ausführungen von TLS, die die Struktur des Padding in TLS Datenpaketen nicht richtig prüft. Bisher wurde die Schwachstelle auf Websites von F5 Networks und A10 Networks gefunden, die Lastverteilung (Load Balancers) nutzen, um TLS Verbindungen durchzuführen. Eine Erklärung mit den technischen Details, gibt es auf dem Blog-Post von Google's Security Engineer Adam Langley.

Was sollte ich nun tun?

1. Finden Sie mit dem Qualys SSL Labs SSL Server Test heraus, ob Ihr Server betroffen ist . Falls Ihr Server betroffen ist, wird Ihnen eine "F"-Bewertung angezeigt, und die Warnmeldung "This server is vulnerable to the POODLE attack against TLS servers. Patching required. Grade set to F."

Poodle Schwachstelle

Ergebnis des Qualys SSL Server Tests für die POODLE TLS Schwachstelle

Sie können außerdem eine Liste mit betroffenen F5 und A10 Versionen auf unserer Support-Seite finden.

2. Spielen Sie den Patch von Ihrem Anbieter ein. F5s finden Sie hier; A10s ist hier. Wir werden hier weitere betroffene Anbieter anführen, falls weitere bekannt werden.

Anmerkung: Die Schwachstelle betrifft nicht die SSL Zertifikate an sich. Sie müssen derzeit Ihre Zertifikate nicht wiederausstellen, erneuern oder wiederinstallieren.

Wenn weitere Informationen bekannt werden, stellen wir sie auf diesem Blog bereit.

Artikel teilen

Jetzt Blog abonnieren