Sicherheitslücke Poodle

· by Roberto Mazzoni · in AAI, Allgemein, OLAT, Services, Software, VPN, Web, ZORA

Unter dem Namen “Poodle” (Abkürzung für engl. Padding Oracle On Downgraded Legacy Encryption) ist eine schwerwiegende Sicherheitslücke im weltweit meistgenutzten Verschlüsselungsprotokoll SSLv3 bekannt geworden. Diese erlaubt einem Angreifer in verschlüsselte Verbindungen einzudringen und Daten in solchen Verbindungen einzusehen.

In vielen Fällen kann diese Sicherheitslücke durch Konfigurationen auf Servern (E-Mail Server, Webserver, VPN-Server, FTP-Server etc.) geschlossen werden. Die Schliessung dieser Lücke kann aber bedeuten, dass ältere Clients wie beispielsweise Internet Explorer 6 unter Windows XP diese Server nichtmehr ansprechen können, da diese die neueren Protokolle nicht mehr unterstützen.

Anbieter von Browsern, wie z.B. die Mozilla Foundation, werden ab 25. November 2014 mit der Auslieferung von Firefox 34 das gefährdete Protokoll deaktivieren. Microsoft empfiehlt bereits heute, die Protokolle auf dem Client (PC) zu deaktivieren. Diese Empfehlung ist mit Vorsicht zu geniessen: Server, die aktuell bei verschlüsselten Verbindungen nur diese älteren Protokolle anbieten können, werden ab dem Zeitpunkt dieser Massnahme nicht mehr erreichbar sein.

Die Informatikdienste haben bereits begonnen, womöglich alle Server so vorzubereiten, dass die unsicheren verschlüsselten Verbindungen deaktiviert werden können und nur nicht verwundbare Verschlüsselungen verwendet werden. Das kann aber bedeuten, dass unter Umständen gewisse Dienste nicht mehr erreichbar sind. Sollten Sie eine solche Situation vorfinden, müssen Sie auf eine Client-Software umsteigen, welche ein sicheres Verschlüsselungsprotokoll unterstützt. Aktuelle Browser und E-Mail-Programme inklusive IBM Notes können problemlos eingesetzt werden.

Wir konzentrieren momentan alle Kräfte darauf, unsere Dienste bis spätestens am 25. November 2014 umzustellen, um einen reibungslosen, sicheren Betrieb zu garantieren. Wir bitten um Verständnis, falls die Beantwortung oder Bearbeitung anderer Anliegen sich verzögern sollten.

1 Reaktionen

Schreibe einen Kommentar