Poodle Angriffe auf SSL abwehren
Poodle Angriffe auf SSL abwehren
Zum Schutz vor Poodle Angriffen sollte man endlich die Unterstützung von SSL3 deaktivieren.
http://www.heise.de/newsticker/meldung/ ... 24327.html
Ein paar Beispiele:
Iceweasel und Icedove:
Ab Version 34 Standard.
Adressleiste öffnen, about:config eingeben, nach tls suchen suchen, die Option security.tls.version.min auf 1 stellen.
Chromium:
Ab der kommenden Version standard.
chromium --ssl-version-min=tls1
Internet Explodierer:
In den Internetoptionen unter Erweitert SSL 3.0 verwenden abwählen und bei der Gelegenheit auch gleich TLS 1.1 und 1.2 aktivieren.
Jolla:
Unter /user/nemo/.mozilla/mozembed eine user.js erzeugen und folgende Zeile einfügen:
user_pref("security.version.tls.min", 1);
Apache bis 2.2.22:
SSLProtocol all -SSLv2 -SSLv3
Apache ab 2.2.23
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
Nginx:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1;
IIS 3:
“regedit” ausführen und zu dem Pfad ”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server” wechseln. Falls nicht vorhanden eben nalegen! Danach den Wert im DWORD “Enabled” von 1 auf 0 setzen und den Server neu starten.
Dovecot (ab Version 2.1) / Courier:
ssl_protocols = !SSLv2 !SSLv3
Postfix:
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
HAProxy:
bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3
Java:
Im "JAVA Control Panel" unter "Erweitert -> Erweiterte Sicherheitseinstellungen" den Hacken entfernen und auch gleich TLS 1.1 und 1.2 aktivieren.
Webserver testen:
https://www.ssllabs.com/ssltest/index.html
Browser testen:
https://www.poodletest.com/
Mail testen:
openssl s_client -crlf -ssl3 -connect imap.mail.de:993
openssl s_client -starttls smtp -crlf -ssl3 -connect mx01.mail.de:25
openssl s_client -starttls smtp -crlf -ssl3 -connect smtp.mail.de:587
Natürlich muss der passende Hostname des zu testenden Servers eingegeben werden.
Wenn SSLv3 nicht unterstützt wird, sollte folgende Fehlermeldung erscheinen und die Verbindung kommt nicht zustande:
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
http://www.heise.de/newsticker/meldung/ ... 24327.html
Ein paar Beispiele:
Iceweasel und Icedove:
Ab Version 34 Standard.
Adressleiste öffnen, about:config eingeben, nach tls suchen suchen, die Option security.tls.version.min auf 1 stellen.
Chromium:
Ab der kommenden Version standard.
chromium --ssl-version-min=tls1
Internet Explodierer:
In den Internetoptionen unter Erweitert SSL 3.0 verwenden abwählen und bei der Gelegenheit auch gleich TLS 1.1 und 1.2 aktivieren.
Jolla:
Unter /user/nemo/.mozilla/mozembed eine user.js erzeugen und folgende Zeile einfügen:
user_pref("security.version.tls.min", 1);
Apache bis 2.2.22:
SSLProtocol all -SSLv2 -SSLv3
Apache ab 2.2.23
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
Nginx:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1;
IIS 3:
“regedit” ausführen und zu dem Pfad ”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server” wechseln. Falls nicht vorhanden eben nalegen! Danach den Wert im DWORD “Enabled” von 1 auf 0 setzen und den Server neu starten.
Dovecot (ab Version 2.1) / Courier:
ssl_protocols = !SSLv2 !SSLv3
Postfix:
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
HAProxy:
bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3
Java:
Im "JAVA Control Panel" unter "Erweitert -> Erweiterte Sicherheitseinstellungen" den Hacken entfernen und auch gleich TLS 1.1 und 1.2 aktivieren.
Webserver testen:
https://www.ssllabs.com/ssltest/index.html
Browser testen:
https://www.poodletest.com/
Mail testen:
openssl s_client -crlf -ssl3 -connect imap.mail.de:993
openssl s_client -starttls smtp -crlf -ssl3 -connect mx01.mail.de:25
openssl s_client -starttls smtp -crlf -ssl3 -connect smtp.mail.de:587
Natürlich muss der passende Hostname des zu testenden Servers eingegeben werden.
Wenn SSLv3 nicht unterstützt wird, sollte folgende Fehlermeldung erscheinen und die Verbindung kommt nicht zustande:
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Zuletzt geändert von tomi89 am 18.10.2014 23:11:18, insgesamt 3-mal geändert.
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Möchte in dem Zusammenhang nicht unerwähnt lassen, dass es seit gestern auch eine neue openssl-Version (1.0.1j-1) gibt mit
was zur Folge hat, dass die Tests dann nicht mehr gehen, z. B.

Code: Alles auswählen
- Add Fallback SCSV support to mitigate CVE-2014-3566
* Disables SSLv3 because of CVE-2014-3566
Code: Alles auswählen
$ openssl s_client -ssl3 -connect debianforum.de:443
unknown option -ssl3
usage: s_client args
<snip>

Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Lautdass es seit gestern auch eine neue openssl-Version (1.0.1j-1) gibt

Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Hat jemand eine Ahnung, wie man den Exim aus Debian dazu bringt, kein SSLv3 mehr zu nutzen?
Es gibt die Option openssl_options, aber der Exim aus Debian läuft mit GnuTLS.
Es gibt die Option openssl_options, aber der Exim aus Debian läuft mit GnuTLS.
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Siehe: http://kb.ctrlscloud.com/index.php/articles/12511100hupfdule hat geschrieben:Hat jemand eine Ahnung, wie man den Exim aus Debian dazu bringt, kein SSLv3 mehr zu nutzen?
In Firefox, bzw. Iceweasel existiert scheinbar ein Bug. Einige können sich nicht über Ports wie 465, 587 (exim) oder 2083, 2087, 2093 (cpanel) nicht verbinden, nachdem sie SSL3 deaktiviert haben. Mit Chromium hat niemand Probleme. Musst du einfach mal ausprobieren.
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Code: Alles auswählen
-------------------------------------------------------------------------
Debian Security Advisory DSA-3053-1 security@debian.org
http://www.debian.org/security/ Thijs Kinkhorst
October 16, 2014 http://www.debian.org/security/faq
-------------------------------------------------------------------------
Package : openssl
CVE ID : CVE-2014-3513 CVE-2014-3566 CVE-2014-3567 CVE-2014-3568
Several vulnerabilities have been found in OpenSSL, the Secure Sockets
Layer library and toolkit.
CVE-2014-3513
A memory leak flaw was found in the way OpenSSL parsed the DTLS Secure
Real-time Transport Protocol (SRTP) extension data. A remote attacker
could send multiple specially crafted handshake messages to exhaust
all available memory of an SSL/TLS or DTLS server.
CVE-2014-3566 ("POODLE")
A flaw was found in the way SSL 3.0 handled padding bytes when
decrypting messages encrypted using block ciphers in cipher block
chaining (CBC) mode. This flaw allows a man-in-the-middle (MITM)
attacker to decrypt a selected byte of a cipher text in as few as 256
tries if they are able to force a victim application to repeatedly send
the same data over newly created SSL 3.0 connections.
This update adds support for Fallback SCSV to mitigate this issue.
CVE-2014-3567
A memory leak flaw was found in the way an OpenSSL handled failed
session ticket integrity checks. A remote attacker could exhaust all
available memory of an SSL/TLS or DTLS server by sending a large number
of invalid session tickets to that server.
CVE-2014-3568
When OpenSSL is configured with "no-ssl3" as a build option, servers
could accept and complete a SSL 3.0 handshake, and clients could be
configured to send them.
For the stable distribution (wheezy), these problems have been fixed in
version 1.0.1e-2+deb7u13.
For the unstable distribution (sid), these problems have been fixed in
version 1.0.1j-1.
We recommend that you upgrade your openssl packages.

Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc
http://files.mdosch.de/2014-07/0xE13D657D.asc
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Danke, schon edtiert.
Hoffentlich ziehen NSS & Co. auch bald nach.
Hoffentlich ziehen NSS & Co. auch bald nach.
-
- Beiträge: 3022
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Zu Chromium noch eine Möglichkeit:
in der Datei /etc/chromium/default die Option hinzufügen
Aus
wird
in der Datei /etc/chromium/default die Option hinzufügen
Aus
Code: Alles auswählen
# Options to pass to chromium
CHROMIUM_FLAGS="--password-store=detect"
Code: Alles auswählen
# Options to pass to chromium
CHROMIUM_FLAGS="--password-store=detect --ssl-version-min=tls1"
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Quelle: http://www.heise.de/security/artikel/Po ... 25250.htmlAußerdem muss der Angreifer Script-Code auf dem Gerät des Opfers ausführen können.
Dieser Angriff beschränkt sich generell auf HTTP. Das deaktivieren von SSLv3 für SMTP- bzw. IMAP-Server ist also nicht notwendig.
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
@tomi: kannst du mir erklären, warum der Thread "geschlossen" seien soll? 

Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Schadet aber auch nicht.Dieser Angriff beschränkt sich generell auf HTTP. Das deaktivieren von SSLv3 für SMTP- bzw. IMAP-Server ist also nicht notwendig.
Unix is user-friendly; it's just picky about who its friends are.
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Leider gibt es noch immer Clients die kein TLS können. Die können dann entweder keine, oder nur eine unverschlüsselte Verbindung aufbauen.catdog2 hat geschrieben:Schadet aber auch nicht.Dieser Angriff beschränkt sich generell auf HTTP. Das deaktivieren von SSLv3 für SMTP- bzw. IMAP-Server ist also nicht notwendig.
Re: [geschlossen] Poodle Angriffe auf SSL abwehren
Sorry, da bin ich wohl irgendwie mit den Tabs durcheinander geraten.TRex hat geschrieben:@tomi: kannst du mir erklären, warum der Thread "geschlossen" seien soll?