SSLv3: POODLE (Padding Oracle On Downgraded Legacy Encryption)
Google: This Poodle bites
Security Advisory von Bodo Möller, Thai Duong, Krzysztof Kotowicz, alle Google.
Server, Browser und Clients wie E-Mail & VPN.
Browser
Firefox
In der Adressleiste about:config eingeben, nach tls suchen und security.tls.version.min von 0 auf 1 ändern.
Chrome
Als Administrator Chrome Verknüpfung am Desktop markieren, rechte Maustaste, Eigenschaften, im Feld Ziele nach chrome.exe“ --ssl-version-min=tls1 eingeben. Alle Hintergrundprozesse von Chrome beenden.
Chrome unter OS X
Auto-Updater deaktivieren
defaults write com.google.Keystone.Agent checkInterval 0
Launch Agent und LaunchDaemon von Google löschen
rm -Rf /Library/LaunchAgents/com.google.keystone.agent.plist | rm -Rf /Library/LaunchDaemons/com.google.keystone.daemon.plist
Google Software Updater entfernen
rm -Rf /Library/Google/GoogleSoftwareUpdate/
Chrome über Terminal aufrufen
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
Apple Security Update 2014-005
Mavericks
Mountain Lion
Yosemite v10.10
Internet Explorer
Internetoptionen, Erweitert, das Häkchen bei SSL 3.0 verwenden entfernen.
ssllabs.com
E-Mail Clients
Für SMTP STARTTLS oder TLS auf Port 587 verwenden.
Server
SSLv3 abschalten. Ünterstützung für das TLS_FALLBACK_SCSV Protokoll einrichten.
IIS
Das kostenlose Tool IISCrypto vereinfacht das Abschalten.
Apache
SSLProtocol All -SSLv2 -SSLv3
Weitere Informationen:
[icon name=“arrow-circle-right“ class=““ unprefixed_class=““] MS Security Advisory 3009008 [icon name=“arrow-circle-right“ class=““ unprefixed_class=““] MS Office Blog: Protecting you against the SSL 3.0 vulnerability [icon name=“arrow-circle-right“ class=““ unprefixed_class=““] cert.at