POODLE

Author: mp Category: Boll

Eine weitere Schwachstelle, die POODLE (Padding Oracle On Downgraded Legacy Encryption) Schwachstelle, zielt auf die etwas veraltete SSLv3 Implementation ab, welche aber meistens noch von Browsern, Mail Gateways etc. genutzt wird. Hier die Informationen unserer Hersteller.

Detaillierte Informationen:
http://blog.cryptographyengineering.com/2014/10/attack-of-week-poodle.html

POODLE client check:
https://www.poodletest.com

POODLE server check:
https://ssltest.com or http://poodlebleed.com/

WatchGuard

http://watchguardsecuritycenter.com/2014/10/16/how-to-neuter-poodle-new-ssl-vulnerability/

Fortinet

http://www.fortiguard.com/advisory/SSL-v3–POODLE–Vulnerability/

SEPPmail

Wir möchten ihnen mitteilen, dass SEPPmail generell nicht von der sogenannten „POODLE SSLv3 Vulnerability“ betroffen ist. Da die Probleme voraussehbar waren ist SSLv3 schon seit Version 7.0.0 bei allen relevanten Diensten deaktiviert.

Nur beim opportunistischen (nicht aber beim verpflichtenden) TLS für SMTP ist auch bei der aktuellen Version 7.0.4 SSLv3 noch erlaubt. Aus sicherheitstechnischen Gründen ist dies richtig, weil eine Verschlüsselung mit SSLv3 immer noch besser ist als gar keine Verschlüsselung. Die Einstellung führt aber dazu, dass SEPPmail bei einem eventuellen Security Scans als „vulnerable“ taxiert wird.

Wir haben deshalb beschlossen, ein Update komplett ohne SSLv3 anzubieten. Dieses sollte ab 21. Oktober verfügbar sein. Wenn Ihre Appliance schon auf Version 7.x ist besteht kein Grund für ein rasches Update. Appliances mit einer tieferen Version sollten umgehend aktualisiert werden.

VASCO

https://www.vasco.com/support/psirt/security-advisories/ssl-3-0-poodle-vulnerability/

A10 Networks

https://www.a10networks.com/vadc/index.php/cve-2014-3566-from-beast-to-poodle-or-dancing-with-beast/

Leave a Reply

Your email address will not be published. Required fields are marked *