JARVIS
Nachdem Anfange diesen Monats ein Fehler / Problem im SSL V2 Protokol bekannt wurde, dass zudem durch den sogenannen Pudel Angriff (Poodle Attack), einem Exploit, ausgenutzt werden kann, besteht, bei allen die SSL in ihrem Webserver nutzen, Handlungsbedarf.
Kurz zum Poodle Attack (Padding Oracle On Downgraded Legacy Encryption)
Hierbei handelt es sich um einen Angriff auf die Verschlüsselung von SSL 3.0. Ähnliche Angriffe sind die SSL-Attacken BEAST und Lucky 13, bei denen es im Gegensatz jedoch keine Lösung gibt. Um nun POODLE Attacken zu vermeiden, muss die Verschlüsselung SSL 3.0 komplett vermieden werden, bzw. deaktiviert werden.
Sollte ein Angreifer diese Schwachstelle ausnutzen, so positioniet es sich als Man-In-the-Middle in der Kommunikation des Servers und des Clients und kann somit den Datenverkehr mitlesen. Hierfür nutzt er eine in einigen Browser mögliche “Downgrade dance”. Dieser kann den TLS-Hanshake mit dem Server nicht, sodass die Verschlüsselung in der nächst niedrigen Stufe angeboten wird. Dies kann durch einen Angreifer so lange provoziert werden, bis er den Handshake zwischen Server und Client mit SSL 3.0 oder gar 2.0 durchführt.
Die Lösung ist es SSL 2.0 und SSL 3.0 im Browser zu deaktivieren, was auf dem Webserver ebenfalls passieren muss. Unterstützt eine der Seiten jedoch nur SSL 3.0 ist ein Schutz nicht möglich. Die Browserhersteller für Chromium und Firefox arbeiten bereits an einer Lösung. Für Chromium gibt es einen Patch und im Firefox wird SSL 3.0 vermutlich mit der Version 34.0 Ende November deaktiviert.
Patch für Chromium: https://chromium.googlesource.com/chromium/src/+/32352ad08ee673a4d43e8593ce988b224f6482d3
Google Onlinesecurity: http://googleonlinesecurity.blogspot.co.at/2014/10/this-poodle-bites-exploiting-ssl-30.html
Mozilla End of SSL 3.0: https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
Test ob mein Webserver betroffen ist
Test auf Verwundbarkeit durch POODLE Angriff: https://www.ssllabs.com/ssltest/analyze.html
Wenn ein Angriff möglich ist wird z.B. dieses angezeigt: This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.
Ändern der SSL Einstellung im Apache2
Datei öffnen: mcedit /etc/apache2/mods-available/ssl.conf
ändern der Zeile : SSLProtocol all -SSLv2
und hinzufügen von -SSLv3: SSLProtocol all -SSLv2 -SSLv3
dannach: /etc/init.d/apache2 restart
Server ist nicht durch Poodle Exploit betroffen
Nun kann man den SSL Test, siehe Link oben von SSL Labs, erneut ausführen. Wenn alles korrekt geändert wurde, wird nun folgendes angezeigt: This server is not vulnerable to the POODLE attack because it doesn’t support SSL 3
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.