Eine weitere Schwachstelle, die POODLE (Padding Oracle On Downgraded Legacy Encryption) Schwachstelle, zielt auf die etwas veraltete SSLv3 Implementation ab, welche aber meistens noch von Browsern, Mail Gateways etc. genutzt wird. Hier die Informationen unserer Hersteller.
Detaillierte Informationen:
http://blog.cryptographyengineering.com/2014/10/attack-of-week-poodle.html
POODLE client check:
https://www.poodletest.com
POODLE server check:
https://ssltest.com or http://poodlebleed.com/
WatchGuard
Fortinet
SEPPmail
Wir möchten ihnen mitteilen, dass SEPPmail generell nicht von der sogenannten „POODLE SSLv3 Vulnerability“ betroffen ist. Da die Probleme voraussehbar waren ist SSLv3 schon seit Version 7.0.0 bei allen relevanten Diensten deaktiviert.
Nur beim opportunistischen (nicht aber beim verpflichtenden) TLS für SMTP ist auch bei der aktuellen Version 7.0.4 SSLv3 noch erlaubt. Aus sicherheitstechnischen Gründen ist dies richtig, weil eine Verschlüsselung mit SSLv3 immer noch besser ist als gar keine Verschlüsselung. Die Einstellung führt aber dazu, dass SEPPmail bei einem eventuellen Security Scans als „vulnerable“ taxiert wird.
Wir haben deshalb beschlossen, ein Update komplett ohne SSLv3 anzubieten. Dieses sollte ab 21. Oktober verfügbar sein. Wenn Ihre Appliance schon auf Version 7.x ist besteht kein Grund für ein rasches Update. Appliances mit einer tieferen Version sollten umgehend aktualisiert werden.