SSL-Sicherheitslücke POODLE: Der tut nichts?

Die Sicherheitslücke POODLE grassiert im Internet oder zumindest in den Medien. Der Pudel ist aber leicht zu zähmen wenn man konsequent vorgeht.

Es ist schon ein Kreuz mit dieser Sicherheitslücke CVE-2014-3566. Ihr Akronym-Nickname POODLE ist nicht besonders furchteinflößend, denn Pudel sind schließlich alles andere als Kampfhunde. Das ist umso tragischer, denn spätestens seit Heartbleed braucht jede bedeutende Sicherheitslücke auch noch ein eigenes Logo. 

POODLE ist nicht so kritisch wie ShellShock oder Heartbleed.

Da macht sich ein Pudel ebenfalls eher schlecht. So kommt es im Zusammenhang mit POODLE dazu, dass in besorgt warnenden Internetberichten vor allem Fotos von zähnefletschenden Pudeln für die Sicherheitslücke herhalten müssen.

Dabei hatten die drei Google-Mitarbeiter, die das Sicherheitsproblem in SSL Version 3.0 (SSLv3) entdeckten und ausführlich offenlegten, offenbar wenig Spielraum bei der Namensgebung. Aus den POODLE-Zutaten „Padding Oracle On Downgraded Legacy Encryption“ lässt sich kaum ein gefährlicher klingender Name wie Rattlesnake oder Viper kreieren.

Alte Pudel beißen nicht jeden

Aber möglicherweise sollte das Akronym auch gar nicht so bedrohlich wirken. Schließlich beißt ein Durchschnitts-Pudel auch nicht jeden ohne Grund, vor allem wenn er schon 18 Jahre alt ist - ebenso wie das betroffene Verschlüsselungs-Protokoll SSL 3.0. Bis POODLE beißt, müssen drei Vorrausetzungen gegeben sein:

  • Der vom Anwender besuchte Webserver unterstützt noch SSL 3.0 und lässt sich beim SSL/TLS-Verbindungsaufbau darauf herunterhandeln.
  • Der Browser des Anwenders unterstützt SSL 3.0 und lässt sich beim SSL/TLS-Verbindungsaufbau darauf herunterhandeln.
  • Ein Angreifer muss sich in den Datenverkehr zwischen Server und Browser einklinken können (Man-in-the-Middle). Dort sorgt er dann dafür, dass sich der Server und der Browser des Opfers auf SSLv3 einigen, um dann vermeintlich sichere HHTP-Cookies zu entschlüsseln. Dazu muss der Angreifer sich aber im Webserver einnisten oder im gleichen Netzwerk wie sein Opfer mit dem Browser befinden.

Ein Maulkorb für den POODLE

POODLE ist eigentlich relativ einfach zu zähmen. Das ist wohl auch ein Grund, warum die Lücke beispielsweise bei Check Point mit einem mittleren Schweregrad eingestuft wird. POODLE ist also nicht so kritisch wie ShellShock oder Heartbleed. Laut Mozilla verwenden nur 0,3 Prozent der HTTPS-Verbindungen mit Firefox noch SSLv3.

POODLE wird beispielsweise von Check Point nur mit einem mittleren Schweregrad eingestuft.

Um POODLE einen Maulkorb zu verpassen, muss man die oben genannten Vorrausetzungen für einen erfolgreichen Angriff vermeiden. Wie das für gängige Webserver-Software und die beliebtesten Browser geht, wurde im Internet ausführlich beschrieben, beispielsweise hier

Für Firefox gibt es auch ein Add-on, mit dem Sie SSLv3 bequem unter Kontrolle halten können. Ob Ihr Browser generell für POODLE anfällig ist, können Sie beispielweise hier oder hier testen. Dabei dürften ohne spezielle Konfiguration wohl alle derzeitigen Browser als anfällig eingestuft werden – für die älteren Versionen gilt das erst recht.

Beim Surfen im Internet können Sie natürlich nichts an der Konfiguration der Webserver ändern – das müssen schon deren Betreiber tun. Falls Sie aber auf Nummer sicher gehen wollen, können sie bei Qualys hier oder bei POODLE Scan hier überprüfen, ob ein Webserver für POODLE-Bisse anfällig sein könnte.

Das veraltete Verschlüsselungs-Protokoll SSL 3.0 hat nach 18 Jahren keine Daseinsberechtigung mehr. Google und Mozilla haben bereits angekündigt, dass sie SSLv3 in zukünftigen Versionen ihrer Browser Chrome und Firefox nicht mehr unterstützen werden. Dem dürften sich wohl auch die anderen Browser-Hersteller anschließen. Schalten Sie bis dahin SSLv3 in Ihrem aktuellen Browser generell ab. Wenn das wie bei Google Chrome noch nicht möglich ist, sorgen Sie dafür, dass der Browser TLS verwendet (TLS_FALLBACK_SCSV).

Möglicherweise finden Sie tatsächlich noch eine Webseite, die sich dann nicht mehr mit ihrem Browser versteht, weil sie nur diese veraltete Verschlüsselung beherrscht. Dann sollten Sie sich jedoch generell Gedanken machen, ob dort vertrauliche Daten gut aufgehoben sind und sie ohnehin meiden. Beachten Sie zudem, dass auch andere Webdienste wie E-Mail und VPN SSLv3 verwenden können, wie die PSW-Group in ihrem Blog zu bedenken gibt.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Dei Einstufung zu einem mittleren Schweregrad kommt sicher nicht daher, weil die Lücke einfach zu schliessen ist, sondern weil die Lücke so schwer auszunützen ist. Und man bekommt auch nie alle Daten entschlüsselt, sondern nur Daten, die sich tausendfach wiederholen.
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close