Pudel ist eine Hunderasse mit Beinen, die Zuckerwatte ähneln. Er ist intelligent und ein fester Bestandteil auf Hundeausstellungen. Selbst die freundlichsten Hunde neigen zum Beißen. Jetzt sehen wir alle Arten von Sicherheitswarnungen und Snafus wie Heartbleed und Shell Shock!!! Der neueste Neuzugang ist POODLE.
Alles begann damit, dass ein Team bei Google einen Angriff mit dem Namen entwickelte und testete PUDEL (Padding Oracle On Downgraded Legacy Encryption) which uncovered vulnerability in Secure Sockets Layer (SSL) version 3 protocol or in short SSLv3.
SSLv3 ist eine veraltete, aber immer noch verwendete Verschlüsselung sowohl in älteren als auch in neuen Webbrowsern. (SSLv3 ist ein 18 Jahre altes Protokoll, das durch das TLS-Protokoll ersetzt wurde)
POODLE tries to force the connection between your web browser and the server to downgrade to SSLv3. The POODLE attack takes advantage of the protocol version negotiation feature built into SSL/TLS to force the use of SSL 3.0 and then uses this new vulnerability to decrypt select content within the SSL session. The decryption is done byte by byte and will generate large number of connections between the client and server.
Wie machen Sie das?
Ein Angreifer kann einen JavaScript-Agenten auf einer Website ausführen, um den Browser des Opfers dazu zu bringen, Cookies mit HTTPS-Anfragen an diese zu senden https://xyz.com, die vom Browser gesendeten SSL-Datensätze abfangen und so ändern, dass eine nicht zu vernachlässigende Wahrscheinlichkeit besteht, dass xyz.com den geänderten Datensatz akzeptiert. Wenn der geänderte Datensatz akzeptiert wird, kann der Angreifer ein Byte der Cookies entschlüsseln. Kekse
TLS 1.0 and newer versions perform more robust validation of the decrypted data and as such are not susceptible to the same problem. But for SSLv3 there’s no fix.
Wie schlimm ist das und wie wirkt sich das auf Sie aus?
Sichere Verbindungen verwenden hauptsächlich TLS (den Nachfolger von SSL). Die meisten Benutzer sind anfällig, da Webbrowser und Server auf SSLv3 heruntergestuft werden, wenn es Probleme beim Aushandeln einer TLS-Sitzung gibt. Die meisten SSL/TLS-Implementierungen bleiben abwärtskompatibel mit SSL 3.0, um im Interesse einer reibungslosen Benutzererfahrung mit Legacy-Systemen zu interagieren. Ein Angreifer, der einen Man-in-the-Middle-Angriff durchführt, könnte ein Protokoll-Downgrade auf SSLv3 auslösen und diese Schwachstelle ausnutzen, um eine Teilmenge der verschlüsselten Kommunikation zu entschlüsseln und daraus Informationen zu extrahieren. Die POODLE-Schwachstelle funktioniert nur, wenn sowohl der Browser des Clients als auch die Verbindung des Servers SSLv3 unterstützen.
Wie kann ich testen, ob mein Browser anfällig ist?
Go to poodletest.com website to test this. If you see a poodle, you are vulnerable. If you see a Springfield Terrier, you are safe.
http://www.bolet.org/TestSSLServer/
http://code.google.com/p/sslaudit/
Was kann ich tun, um dies zu verhindern? Pudel-Impfung?
Deaktivieren Sie als Endbenutzer die SSLv3-Unterstützung in Ihrem Webbrowser. Wenn es deaktiviert ist, kann POODLE Ihren Browser NICHT darauf herunterstufen. Um bewährte Sicherheitspraktiken zu fördern, würde ich dringend empfehlen, die höchste Version von TLS zu verwenden. Für die meisten Browser sollte dies TLS 1.2 sein.
Wird dies mein Surferlebnis beeinträchtigen?
Dies wird Auswirkungen auf einige ältere Browser haben. Websites, deren Unterstützung für SSLv3 bereits eingestellt wurde, werden mit älteren Browsern und Betriebssystemen nicht mehr kompatibel sein. Bei alten Browsern wie Internet Explorer 6 unter Windows XP oder älteren Versionen wird ein SSL-Verbindungsfehler angezeigt.
SSL v3 wird in zukünftigen Versionen vieler Webbrowser standardmäßig deaktiviert sein.
Wie kann ich dies auf dem Server deaktivieren?
CloudFlare gab bekannt, dass es SSLv3 standardmäßig auf seinen Servern deaktiviert. So auch viele Dienstleister.
Wenn Sie Apache ausführen, nehmen Sie neben den anderen SSL-Anweisungen einfach diese Änderung in Ihrer Konfiguration vor:
SSL-Protokoll Alle -SSLv2 -SSLv3
Dadurch werden die SSL-Protokollversionen 2 und 3 deaktiviert.
Wie können Entwickler dies verhindern?
.NETZ
Verwenden Sie die SecurityProtocol-Eigenschaft, um TLS zu aktivieren.
Einzelheiten zur Verwendung der SecurityProtocol-Eigenschaft finden Sie unter:
http://msdn.microsoft.com/en-us/library/system.net.servicepointmanager.securityprotocol(v=vs.110).as…
http://msdn.microsoft.com/en-us/library/system.net.securityprotocoltype(v=vs.110).aspx
As an example, to force TLS 1.2 in a C# .NET implementation, you’d use:
System.Net.ServicePointManager.SecurityProtocol = System.Net.SecurityProtocolType.Tls12;
JAVA
HINWEIS: TLS 1.2 wurde erstmals in JDK 7 unterstützt und wird in JDK 8 standardmäßig sein: https://blogs.oracle.com/java-platform-group/entry/java_8_will_use_tls
Verwenden Sie die Methode SSLContext.getInstance, um TLS zu aktivieren.
Einzelheiten zur Verwendung der SSLContext.getInstance-Methode finden Sie unter:
http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/SSLContext.html#getInstance(java.lang.String)
http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/SSLContext.html#getInstance(java.lang.String,…
http://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html#SSLContext
For example, to use the default security layer provider to enable TLS, you’d use:
object = SSLContext.getInstance(“TLS”);
To force TLS 1.2 while using Sun’s Java Secure Socket Extension (JSSE), you’d use:
object = SSLConnect.getInstance(“TLSv1.2”, “SunJSEE”);
cURL
Verwenden Sie die Option CURLOPT_SSLVERSION, um TLS zu aktivieren.
Einzelheiten zur Verwendung der Option CURLOPT_SSLVERSION finden Sie unter:
http://curl.haxx.se/libcurl/c/CURLOPT_SSLVERSION.html
As an example, to force cURL to use TLS 1.0 or later, you’d use:
C/C++/C#:
curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
PHP:
curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);
In cURL 7.34.0 or later, to force TLS 1.2, you’d use:
C/C++/C#:
curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);
PHP:
curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2);
SchienenCarma Das Team bereitete sich auf den vollständigen Verteidigungsmodus vor, um alle Lücken zu schließen, die durch diese Schwachstelle offen blieben. Wir haben die erforderlichen Patches auf unsere Anwendungen angewendet, um unsichere SSL/TLS-Optionen zu deaktivieren.
Verweise
http://arstechnica.com/security/2014/10/ssl-broken-again-in-poodle-attack/
https://www.imperialviolet.org/2014/10/14/poodle.html
http://blog.cryptographyengineering.com/2014/10/attack-of-week-poodle.html
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
http://www.theregister.co.uk/2014/10/16/poodle_analysis/
http://www.theregister.co.uk/2014/10/14/google_drops_ssl_30_poodle_vulnerability/
http://www.pcworld.com/article/2834015/security-experts-warn-of-poodle-attack-against-ssl-30.html
http://www.alertlogic.com/blog/poodle-man-middle-attack-sslv3/
https://www.us-cert.gov/ncas/alerts/TA14-290A
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://www.makeuseof.com/tag/stop-poodle-from-biting-your-browser/
https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
Pudel deaktivieren
https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle
Abonnieren Sie die neuesten Updates
Über den Autor des Beitrags
