Poodle und was man tun sollte

Flattr this!

Hallo Admins und Nutzer!

Ihr habt sicher mitbekommen, dass es da eine SSL Lücke Namens Poodle in SSLv3 gibt. Hier eine kleine Erklärung des Problems:

 

 

 

 

 

 

 

 

 

Direktlink

Deshalb macht das bitte auf all euren Webdiensten aus.

Das geht wie folgt:

Für Apache folgendes in die Config:

SSLProtocol All -SSLv2 -SSLv3

danach

sudo service apache2 restart

ausführen.

Für SMTP (Postfix) folgendes in die Config:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

und dann

sudo service postfix restart

ausführen.

Für dovecot in die /etc/dovecot/local.conf folgendes Ergänzen:

ssl_cipher_list = HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3

und dann

sudo service dovecot restart

ausführen. Achtung! Geht nicht bei Version 2.1

Update
Bei manchen Usern geht diese Änderung wohl nicht!
Alternativ dann bitte

ssl_protocols = !SSLv2 !SSLv3
eintragen.

Für cyrus imapd in /etc/imapd.conf

tls_cipher_list: TLSv1:SSLv3:!NULL:!EXPORT:!DES:!LOW:@STRENGTH

Für Prosody bitte

ssl = {
protocols="tlsv1_1+";
...
}

— falls vorhanden:
https_ssl = {
protocols=“tlsv1_1+“;
}

in die Config eintragen.

Alle Internetnutzer

Und alle normalen Nutzer. Bitte passt folgende Einstellungen in eurem Firefox an:

firefoxssl

Und da gleiche auch im Thunderbird. Über die Einstellungen kann man ebenfalls eine about:config öffnen
thunderbird

Im Opera geht man folgendermasen vor:
Einstellungen -> Erweitert -> Sicherheit -> Sicherheitsprotokolle…

Deaktivieren von SSL 3

Chrome einfach in der Konsole mit dem Parameter –ssl-version-min=tls1 Zeile aufrufen.

Testen

Wer testen will, ob er anfällig für Poodle ist, kann das hier ausführen:

nmap --script ssl-enum-ciphers -p 443 example.com |grep "SSLv3: No supported" ||echo "Site vulnerable to poodle" oder die Seite https://www.poodletest.com/ aufrufen.

Entschuldigt die spartanischen Worte, aber mehr Zeit habe ich nicht 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.