CVE-2016-0800 SSL DROWN Angriff (SSLv2)

• 02 März 2016
• von: Nicole Kühne
• Kategorien: Allgemein
• Tags: Sicherheitslücke

Am gestrigen Dienstag den 01.03. wurde eine Schwachstelle in der Software OpenSSL bekannt. Ein entfernter, nicht authentifizierter Angreifer kann somit die Sicherheitsvorkehrung der TLS-Verschlüsselung umgehen und in der Folge sensible Informationen ausspähen. Ursächlich für die Schwachstelle ist (dieses Mal) das SSLv2 Protokoll. Im verlinkten Artikel des Heise Verlags werden weitere Details der Schwachstelle sehr gut erklärt.

Managed Hosting Server von Power-Netz erlauben im Webserver bereits seit einiger Zeit keine SSLv2 (oder SSLv3) Verbindungen mehr da diese Protokolle gemeinhin als unsicher gelten.
Aktuell (Stand Dienstag, 02.03. 11:45 Uhr) erlauben wir SSLv2 noch mindestens im Email-Server (POP/SMTP/IMAP/etc). Wir arbeiten (und testen) bereits eine Lösung. Weitere Updates folgen in Kürze unterhalb.

[ Update 02.03. 12:00 Uhr ]
Wir haben auf einem Teil unserer Managed Hosting Server einen Patch ausgerollt, der SSLv2 komplett deaktiviert. Die per CVE-2016-0800 beschriebene Schwachstelle wird somit gemildert und das Ausnutzen verhindert. Sofern sich bis morgen keine Nachteile ergeben, werden wir den Patch im Laufe des morgigen Tages auch im Rest der Serverlandschaft verteilen.

[ Update 03.03. 10:45 Uhr ]
Es sind keine unmittelbaren Nachteile durch den gestrigen Patch erkennbar, so dass wir den Patch zur Stunde in unserer kompletten Infrastruktur verteilen. In der Nacht von kommende Woche Dienstag auf Mittwoch werden wir dann alle Managed Hosting Server einmal sauber durchstarten.
Dazu siehe auch -> unserer Wartungsmeldung / Statusseite.