Poodle

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


"POODLE" steht für Padding Oracle On Downgraded Legacy Encryption und ist eine Schwachstelle des SSL Protokolls.

Beschreibung

Das SSL 3.0 Protokoll benutzt ein nicht deterministisches "Padding". Padding ist das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze für Kryptoalgorithmen im Cipher-Block-Chaining (CBC-Modus).

Durch diese Schwäche kann das SSL 3.0 Protokoll von einem entfernten, nicht authentifizierten Angreifer in einem Man-In-the-Middle-Angriff ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er das Padding entsprechend modifiziert.

Auswirkungen

SSL 3.0 ist bereits durch seine Nachfolger TLS 1.0, TLS 1.1 und TLS 1.2 abgelöst. TLS Implementierungen sind Abwärtskompatibel. Durch das Aushandeln bei dem initialen Verbindungsaufbau, welche Version verwendet wird, kann es auch bei TLS zu Angriffen kommen. Ein Angreifer kann, wenn er sich im Netzwerk zwischen Client und Server befindet, in einem Man-In-the-Middle-Angriff in diese Verhandlung eingreifen und die Protokollversion SSL 3.0 erzwingen.

Betroffene Systeme

Von der Schwachstelle betroffen sind alle Systeme die SSL anbieten oder nutzen.

IT-Sicherheit

Schutzmaßnahmen

Da es bereits Nachfolger der Version SSL 3.0 gibt, sollten Betreiber von Webseiten dieses veraltete Protokoll abschalten. Nutzer von Browsern sollten in der Konfiguration die Nutzung von TLS 1.2 aktivieren. Über die Webseite BSI-fuer-Buerger werden Empfehlungen zur Absicherung veröffentlicht.

Mindesstandard des BSI für Bundesbehörden

Für Bundesbehörden hat das BSI die Allgemeine Verwaltungsvorschrift, die seit 13.12.2014 in Kraft ist, veröffentlicht. Für Bundesbehörden ist der Einsatz von TLS 1.2 verbindlich.

Weblinks

Literatur

Siehe übergeordnete Stichworte

Siehe auch




Diese Seite wurde zuletzt am 9. Oktober 2015 um 10:12 Uhr von Markus Albert geändert.

Anzeigen