POODLE (CVE-2014-3566) – das Ende von SSLv3

SSLv3: POODLE (Padding Oracle On Downgraded Legacy Encryption)

Google: This Poodle bites
Security Advisory von Bodo Möller, Thai Duong, Krzysztof Kotowicz, alle Google.

 

Die Konsequenz aus POODLE: SSLv3 muss überall abgeschaltet werden.
Server, Browser und Clients wie E-Mail & VPN.

Browser

Firefox
In der Adressleiste about:config eingeben, nach tls suchen und security.tls.version.min von 0 auf 1 ändern.
 
Chrome

Als Administrator Chrome Verknüpfung am Desktop markieren, rechte Maustaste, Eigenschaften, im Feld Ziele nach chrome.exe” --ssl-version-min=tls1 eingeben. Alle Hintergrundprozesse von Chrome beenden.

Chrome unter OS X
Auto-Updater deaktivieren

defaults write com.google.Keystone.Agent checkInterval 0

Launch Agent und LaunchDaemon von Google löschen

rm -Rf /Library/LaunchAgents/com.google.keystone.agent.plist | rm -Rf /Library/LaunchDaemons/com.google.keystone.daemon.plist

Google Software Updater entfernen
rm -Rf /Library/Google/GoogleSoftwareUpdate/

Chrome über Terminal aufrufen
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

 

Apple Security Update 2014-005

Mavericks
Mountain Lion
Yosemite v10.10

Internet Explorer
Internetoptionen, Erweitert, das Häkchen bei SSL 3.0 verwenden entfernen.

 

Browser testen
   ssllabs.com

E-Mail Clients
 
Für SMTP STARTTLS oder TLS auf Port 587 verwenden.

 

Server

SSLv3 abschalten. Ünterstützung für das TLS_FALLBACK_SCSV Protokoll einrichten.

 

IIS

Das kostenlose Tool IISCrypto vereinfacht das Abschalten.

Apache

SSLProtocol All -SSLv2 -SSLv3

Weitere Informationen:

MS Security Advisory 3009008

MS Office Blog: Protecting you against the SSL 3.0 vulnerability

cert.at

ATVIRTUAL.NET KG