ich habe heute mal alle von mir betriebenen Systeme mit Hilfe von Qualys SSL Labs (https://www.ssllabs.com/ssltest/index.html) auf Anfälligkeit bezüglich POODLE getestet.
Eigentlich hatte ich erwartet, für meinen IPS Server (SSL) ein positives Ergebnis zu erhalten. Leider war das Ergebnis alles andere als positiv: Nach Aussage des Tests ist neben SSLv3 unter anderem auch SSLv2 aktiv. Das sind allerdings nur die größten gemeldeten Probleme - daneben gibt es eine ganze Latte anderer möglicher Schwächen.
Nachdem ich vor kurzem auf v3.2 hochgerüstet habe, ist mir nicht klar, warum der Test immer noch SSLv3 anzeigt? Ist bei meinem Update etwas schiefgegangen, oder habe ich das mit dem Deaktivieren von SSLv3 falsch verstanden?
Wer seine Installation testen will, sollte mal auf obige Seite gehen und das Ganze für seine Domäne durchlaufen lassen.
Hallo Jens,
Ja, für den Test habe ich das tatsächlich auf Port 443 durchgeschaltet. Normalerweise nutze ich einen weniger kompromitierten Port
Gruss
Michael
Danke für den Link, sehr, sehr hilfreich.
Hat mir meine aktuellen Baustellen sehr schön aufgezeigt. Nachdem ich die Baustellen (Tipp: NARTAC IIS Crypto GUI) alle -ratz fatz- behoben hatte, bin ich jetzt mit einem beruhigendem „A“-Ranking unterwegs.
PS: leicht OT, ich beziehe mich auf den IIS 7.5, nicht auf den IPS-Webserver!
@Sturm Wollte nur sicher gehen, dass Du nicht einen anderen Webserver „misst“. Denn wer viel misst, misst Mist
Ich habe es mal ganz offline mit der #3578 getestet. Die ist leider auch noch verPOODLEd:
Nmap scan report for host.any.domain (192.168.xxx.xxx)Host is up (0.00s latency).
PORT STATE SERVICE VERSION
xxx/tcp open ssl/freeciv?
| ssl-poodle:
| VULNERABLE:
| SSL POODLE information leak
| State: VULNERABLE
| IDs: CVE:CVE-2014-3566 OSVDB:113251
| Description:
| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and
| other products, uses nondeterministic CBC padding, which makes it easier
| for man-in-the-middle attackers to obtain cleartext data via a
| padding-oracle attack, aka the "POODLE" issue.
| Disclosure date: 2014-10-14
| Check results:
| TLS_RSA_WITH_AES_128_CBC_SHA
| References:
| http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
| http://osvdb.org/113251
| https://www.openssl.org/~bodo/ssl-poodle.pdf
|_ https://www.imperialviolet.org/2014/10/14/poodle.html
Nmap done: 1 IP address (1 host up) scanned in 29.61 seconds
EDIT: das für den Scan genutzte Skript stoppt nach der ersten erkannten CBC Cipher-Suite, deswegen wird nur „TLS_RSA_WITH_AES_128_CBC_SHA“ angezeigt
Nmap scan report for host.name.vergessen (192.168.xxx.xxx)Host is up (0.00s latency).
PORT STATE SERVICE VERSION
xxx/tcp open ssl/freeciv?
| ssl-enum-ciphers:
| SSLv3: No supported ciphers found
[OT]Das Tray-Icon ist jetzt auch wesentlich besser sichtbar[OT]