Nachdem es in den vergangenen Tagen bereits Gerüchte dazu gab, wurden nun Details zu einer Sicherheitslücke in SSL 3.0 veröffentlicht: openssl.org
Die Google-Mitarbeiter, die sie entdeckt haben, haben sie POODLE, ein Akronym für "Padding Oracle On Downgraded Legacy Encryption", genannt.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
SSL 3.0 wurde zwar bereits 1999 von TLS 1.0 ersetzt, wird jedoch von fast allen aktuellen Browsern bei fehlgeschlagenen TLS-Verbindungen als Fallback eingesetzt.
Durch das Erzwingen des Fehlschlagens können Angreifer daher eine SSL 3.0-Verbindung erzwingen und dann die Sicherheitslücke ausnutzen, wodurch sie die eigentlich verschlüsselten Informationen entschlüsseln können. Auch wenn die Lücke ernst zu nehmen ist, so ist sie wohl nicht mit z.B. Heartbleed vergleichbar.
Da es kaum noch Websites gibt, die lediglich SSL 3.0-Verbindungen anbieten, scheint die praktischste Lösung ein server- oder clientseitiges Deaktivieren des SSL 3.0-Protokolls zu sein, auch wenn dann Nutzer alter Betriebssysteme und Browser, z.B. IE 6 unter Windows XP, ausgesperrt werden könnten.
Google arbeitet bereits an einer entsprechenden Änderung für Chrome und seine weiteren Client-Produkte. Mozilla wird SSL 3.0 mit Firefox 34.0 deaktivieren: blog.mozilla.org.
Weitere Infos zur Sicherheitslücke gibt's unter googleonlinesecurity.blogspot.de, im oben verlinkten Paper sowie in den Quellen.
Quellen: golem.de & futurezone.at
Nachtrag: Möglichkeiten, wie man sich vor der SSL 3.0-Lücke schützen kann, zeigt heise.de auf.
Nachtrag (2): Für OpenSSL sind Updates erschienen, die u.a. auch auf die POODLE-Lücke reagieren: golem.de.