Neue SSL-Lücke POODLE - Schutzmaßnahme für Firefox

Sören Hentzschel

Mit POODLE haben wir nun das nächste schwerwiegende SSL-Problem, weil wir davon ja in den letzten Monaten nicht genug hatten. Die Sicherheitslücke betrifft zwar das alte SSL 3.0, kann aber aber dann zum Problem werden, wenn der Angreifer neuere SSL-Versionen (TLS 1.0+) blockiert und so einen Fallback auf SSL 3.0 erzwingt. Laut ALEXA unterstützen 96,9 Prozent aller verschlüsselten Seiten der meist genutzten Million Webeiten noch SSL 3.0 als Fallback (0,02 Prozent haben SSL 3.0 als höchsten Standard). Das Sicherheitsproblem ist groß genug, dass POODLE der Anlass ist, dass sowohl Google als auch Mozilla die Unterstützung von SSL 3.0 nun komplett aus ihren Browsern entfernen werden. Firefox 34 wird bereits kein SSL 3.0 mehr unterstützen, ein entsprechender Patch soll in der morgigen Nightly-Version integriert sein.

Bis dahin: security.tls.version.min über about:config auf 1 setzen, um vor POODLE geschützt zu sein.

Zitronella

Zitat von Sören Hentzschel

Bis dahin: security.tls.version.min über about:config auf 1 setzen, um vor POODLE geschützt zu sein.

gilt das auch für Thunderbird?

Sören Hentzschel

Guter Punkt. Ja, das gilt auch für Thunderbird.

.Hermes

Dazu ein Addon von Mozilla SSL Version Control 0.1.
Die fehlende Unterstützung für den Thunderbird hat bereits ein Nutzer gemeldet

TmoWizard

Zitat von Sören Hentzschel

Bis dahin: security.tls.version.min über about:config auf 1 setzen, um vor POODLE geschützt zu sein.

Geht das beim Firefox nicht über die normalen Einstellungen so wie bei SeaMonkey? :-???

Zitat von Sören Hentzschel

Guter Punkt. Ja, das gilt auch für Thunderbird.

Wieder ein winzig kleiner Punkt für die Suite, da muß man das nur einmal einstellen! :mrgreen:

Sören Hentzschel

Zitat von TmoWizard

Geht das beim Firefox nicht über die normalen Einstellungen so wie bei SeaMonkey? :-???

Nein, und ich bin auch der Meinung, dass es absolut richtig ist, diese Einstellung nicht prominent darzustellen. Das ist in jedem Fall eine Einstellung, die man nur verändern sollte, wenn man weiß, was man tut, ergo sollte man nicht zum Rumspielen einladen. Bedenke: Was in den Einstellungen sichtbar ist, das sehen unter Umständen 500 Millionen Nutzer und die haben zum größten Teil überhaupt keinen Kontext wie in diesem Fall die Sicherheitslücke. Die Wahrscheinlichkeit, Seiten hinterher nicht mehr zu erreichen ist da größer als etwas sinnvoll zu verändern.

heubergen

Hat jemand auch noch gerade ein Testseite die nur SSL 3.0 unterstützt um die Sicherheit zu testen? Die Verbindung müsste dann ja wohl fehlschlagen.

Darklord666

Ich habe auch bei security.tls.version.min 0 den Terrier mit "Not vulnerable". :-???
Ich setze trotzdem mal auf "1", kann nicht schaden.

Sören Hentzschel

Was für ein Terrier?

Darklord666

Zitat von Sören Hentzschel

Was für ein Terrier?

Na, den hier: [Blockierte Grafik: http://1.f.ix.de/imgs/18/1/3/6/1/1/2/6/Poodletest1-36a0547f66219b42.png]

Sören Hentzschel

Jetzt bin ich so ziemlich genauso schlau wie vorher.

Zitronella

Ich kapier es auch nicht *schulterzuck und was anderes les* :lol:

Darklord666

Zitat von Sören Hentzschel

Jetzt bin ich so ziemlich genauso schlau wie vorher.

Bitte lesen: http://www.heise.de/security/meldu…ab-2424327.html

Zitronella

:idea: ahh mit Link hat dein Geschreibsel auch einen sinnvollen Zusammenhang.

Würde mich aber auch interessieren warum FF mit der Einstellung security.tls.version.min auf 0 auf der Webseite https://www.poodletest.com/ als "not vulnerable" angezeigt wird. :-??
Wer lücht denn nun? Firefox oder diese Testseite?

Sören Hentzschel

Ich denke, Mozilla wird am besten wissen, ob der eigene Browser betroffen ist, und Mozilla hat in seiner Ankündigung im Security-Blog [1] auf das von Mozilla veröffentlichte Add-on aufmerksam gemacht, Link siehen oben, welches nichts anderes macht, als diesen Schalter entsprechend zu verändern (und die Konfiguration via Add-on Manager erlaubt).

[1] The POODLE Attack and the End of SSL 3.0

Darklord666

Zitat von Zitronella

Würde mich aber auch interessieren warum FF mit der Einstellung security.tls.version.min auf 0 auf der Webseite https://www.poodletest.com/ als "not vulnerable" angezeigt wird. :-??
Wer lücht denn nun? Firefox oder diese Testseite?

Genau das war meine Intention und ich war naiverweise davon ausgegangen, das die heise website bei den gestandenen Firefoxnutzern Standardlektüre ist. :wink: Ich schau da fast täglich mal rein, wobei einiges auch Panikmache ist aber dies hier finde ich extrem wichtig.

.Hermes

Zitat von Zitronella

Wer lücht denn nun? Firefox oder diese Testseite?

Die Antwort ist ja wohl klar,
Die intimen Kenntnisse von Mozilla sind ausschlaggebend.

Ich kann mit den Einstellungen bei einem Fx mit vielen Erweiterungen oder auch einem Fx ohne Erweiterungen spielen wie ich mag, ich bekomme immer die Anzeige der Unverletzlichkeit.

Nicht jede vertrauensheischende Site hat ihren Ruf verdient.

Mithrandir

Auf https://technet.microsoft.com/en-us/library/…ty/3009008.aspx ist mittlerweile die Lösung per GPO (Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 for Internet Explorer in Group Policy) veröffentlicht (für Admins größerer Netzwerke sicherlich interessant).

.Hermes

Hier traf gerade beim Nightly "36.0a1 (2014-10-16)" die angekündigte Änderung ein.

te1

Hallo,

ich habe FF 34 und security.tls.version.min steht standardmäßig auf 1.
Trotzdem kommt auf https://www.poodletest.com/ der Pudel

Bin ich nun sicher vor dem Pudel?
Wie ist das bei Euch mit FF34?

Ciao
Thomas