Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
OpenSSL Project OpenSSL <= 1.0.1I
Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows Server 2003 Sp2
Microsoft Windows Server 2003 Sp2 Itanium
Microsoft Windows Server 2003 Sp2 X64
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64
Betroffene Plattformen:
F5 Networks BIG-IP Access Policy Manager (APM) >= 10.1.0
F5 Networks BIG-IP Access Policy Manager (APM) <= 10.2.4
F5 Networks BIG-IP Access Policy Manager (APM) >= 11.0.0
F5 Networks BIG-IP Access Policy Manager (APM) <= 11.6.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 11.3.0
F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 11.6.0
F5 Networks BIG-IP Analytics >= 11.0.0
F5 Networks BIG-IP Analytics <= 11.6.0
F5 Networks BIG-IP Application Acceleration Manager (AAM) >= 11.4.0
F5 Networks BIG-IP Application Acceleration Manager (AAM) <= 11.6.0
F5 Networks BIG-IP Application Security Manager (ASM) >= 10.0.0
F5 Networks BIG-IP Application Security Manager (ASM) <= 10.2.4
F5 Networks BIG-IP Application Security Manager (ASM) >= 11.0.0
F5 Networks BIG-IP Application Security Manager (ASM) <= 11.6.0
F5 Networks BIG-IP Edge Gateway >= 10.1.0
F5 Networks BIG-IP Edge Gateway <= 10.2.4
F5 Networks BIG-IP Edge Gateway >= 11.0.0
F5 Networks BIG-IP Edge Gateway <= 11.3.0
F5 Networks BIG-IP Global Traffic Manager (GTM) >= 10.0.0
F5 Networks BIG-IP Global Traffic Manager (GTM) <= 10.2.4
F5 Networks BIG-IP Global Traffic Manager (GTM) >= 11.0.0
F5 Networks BIG-IP Global Traffic Manager (GTM) <= 11.6.0
F5 Networks BIG-IP Link Controller >= 10.0.0
F5 Networks BIG-IP Link Controller <= 10.2.4
F5 Networks BIG-IP Link Controller >= 11.0.0
F5 Networks BIG-IP Link Controller <= 11.6.0
F5 Networks BIGIP Local Traffic Manager (LTM) >= 10.0.0
F5 Networks BIGIP Local Traffic Manager (LTM) <= 10.2.4
F5 Networks BIGIP Local Traffic Manager (LTM) >= 11.0.0
F5 Networks BIGIP Local Traffic Manager (LTM) <= 11.6.0
F5 Networks BIG-IP Policy Enforcement Manager (PEM) >= 11.0.0
F5 Networks BIG-IP Policy Enforcement Manager (PEM) <= 11.6.0
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
F5 Networks BIG-IP WAN Optimization Module (WOM) >= 10.0.0
F5 Networks BIG-IP WAN Optimization Module (WOM) <= 10.2.4
F5 Networks BIG-IP WAN Optimization Module (WOM) >= 11.0.0
F5 Networks BIG-IP WAN Optimization Module (WOM) <= 11.3.0
F5 Networks BIG-IP WebAccelerator >= 10.0.0
F5 Networks BIG-IP WebAccelerator <= 10.2.4
F5 Networks BIG-IP WebAccelerator >= 11.0.0
F5 Networks BIG-IP WebAccelerator <= 11.3.0
Juniper Junos Space
GNU/Linux
Juniper JUNOS
Juniper NetScreen ScreenOS
Microsoft Windows
Eine Schwäche Im Design des Protokolls SSL 3.0 ermöglicht einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff, Teile
von verschlüsselten Nachrichten im Klartext zu erhalten. Betroffen von
dieser Schwachstelle sind alle Produkte, die das SSL 3.0 Protokoll
implementieren wie z.B. OpenSSL.
Um diese Angriffsmöglichkeit zu forcieren, kann ein Angreifer eine
zusätzliche Maßnahme ergreifen. SSL 3.0 ist ein veraltetes, unsicheres
Protokoll, das bereits durch seine Nachfolger TLS 1.0, TLS 1.1 und TLS 1.2
abgelöst wurde. TLS Implementierungen sind aber aufgrund der Beibehaltung
von Abwärtskompatibilität oftmals in der Lage, bei der initialen Verhandlung
zwischen Client und Server die zu benutzende Version des Protokolls
miteinander abzusprechen, indem sie immer weiter Vorgängerversionen
vorschlagen, bis eine Übereinstimmung auf beiden Seiten erreicht ist. Ein
Angreifer kann, wenn er sich im Netzwerk zwischen Client und Server
befindet, in einem Man-in-the-middle-Angriff in diese Verhandlung eingreifen
und die Protokollversion SSL 3.0 erzwingen.
Dieser Angriff auf das Protokoll SSL 3.0 wurde von seinen Entdeckern
"POODLE" (Padding Oracle On Downgraded Legacy Encryption) getauft.
Erste Informationen von Herstellern, wie z.B. Juniper Networks und Cisco, zu
verwundbaren Systemen liegen vor. Diese sind aber nicht abschließend, auch
stehen nicht viele Sicherheitsupdates bereit. Die Herstellermeldungen werden
kontinuierlich aktualisiert.
Workaround:
Die Schwachstelle ist nur dann ausnutzbar, wenn der Client und der Server
SSL 3.0 unterstützen und auch in der Verhandlung akzeptieren. Betreiber von
geschützten Diensten wie z.B. von Webservern sollten, wenn möglich, SSL 3.0
als Protokoll verbieten. Ebenso sollten Benutzer, falls möglich, ihre
Clients dahingehend konfigurieren, dass SSL 3.0 nicht akzeptiert wird, wenn
sie sich mit geschützten Diensten verbinden wollen.
Zur Zeit wird an einem Mechanismus gearbeitet, der TLS_FALLBACK_SCSV genannt
wird (s. Referenz) und das Problem mit dem Herunterstufen der
Protokollversion in der Verhandlungsphase entschärfen soll. Von den
Entwicklern von OpenSSL wurde dieser Mechanismus bereits implementiert und
ist in den Versionen OpenSSL 1.0.1j, 1.0.0o und 0.9.8zc enthalten.
Patch:
Cisco Security Advisory POODLE
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-poodle/
Patch:
F5 Networks Security Advisory sol15702
http://support.f5.com/kb/en-us/solutions/public/15000/700/sol15702.html?ref=rss
Patch:
Juniper Networks Security Advisory JSA10656
http://kb.juniper.net/index?page=content&id=JSA10656&actp=RSS
Patch:
Microsoft Security Advisory MSA-3009008
https://technet.microsoft.com/en-us/library/security/3009008
CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen
Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1354/
Cisco Security Advisory POODLE:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-poodle/
F5 Networks Security Advisory sol15702:
http://support.f5.com/kb/en-us/solutions/public/15000/700/sol15702.html?ref=rss
Juniper Networks Security Advisory JSA10656:
http://kb.juniper.net/index?page=content&id=JSA10656&actp=RSS
Microsoft Security Advisory MSA-3009008:
https://technet.microsoft.com/en-us/library/security/3009008
Google: “This POODLE bites: Exploiting the SSL 3.0 Fallback”:
https://www.openssl.org/~bodo/ssl-poodle.pdf
Internet-Draft, “TLS Fallback Signaling Cipher Suite Value (SCSV) for
Preventing Protocol Downgrade Attacks”:
https://tools.ietf.org/html/draft-bmoeller-tls-downgrade-scsv-01
Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
