Derzeit wird in den Massenmedien ein neues Sicherheitsproblem diskutiert: “Poodle”. Poodle hat keinen “Patch”, denn es ist kein Fehler einer Implementation, sondern eines alten Protokolls, nämlich SSLv3. Die gute Nachricht ist jedoch, dass der einzige Browser, der noch auf dieses Protokoll angewiesen ist, der alte Internet Explorer 6 unter Windows XP ist, beides Dinosaurier der IT-Welt die hoffentlich schon lange nicht mehr eingesetzt werden.
Es scheint jedoch nunmehr möglich, auch neuere Browser dazu zu bringen, auf das alte SSLv3 zurück zu schalten und somit zu einer nicht sicheren Verbindung zu bringen. Wir haben jedenfalls stratodesk.com abgesichert, stratodesk.com ist nicht via SSLv3 erreichbar.
Ubuntu 12.04 und Ubuntu 14.04 lassen SSLv3 noch zu – so haben wir Extra-Code in unsere 1.0-75 stratodeskva Software-Version hinzugegeben, um die Ubuntu-Defaults zu überschreiben und SSLv3 zu deaktivieren. Wenn Sie besorgt wegen Poodle sind, bitte updaten Sie Ihre Virtual Appliance auf 1.0-75.
Referenzen:
- https://www.openssl.org/~bodo/ssl-poodle.pdf
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
- http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566
