Die Einschläge kommen nicht nur gefühlt näher – nach Heartbleed und Shellshock nun also Poodle (Padding Oracle On Downgraded Legacy Encryption). Aber der Reihe nach:
Heartbleed sollte inzwischen bei Ihnen hoffentlich(!) kein Thema mehr sein, d. h. Sie setzen aktuelle OpenSSL-Versionen auf allen Ihren Systemen ein und haben es zudem auch nicht versäumt, alle ggf. kompromittierten SSL-Zertifikate auszutauschen.
Sollte Sie an dieser Stelle unsicher sein, sprechen Sie mich unverbindlich an, damit wir gemeinsam diese Katastrophe (lt. Krypto-Papst Bruce Schneier „Eine 11 auf einer Skala von 0 bis 10) von Ihrer IT-Infrastruktur abwenden können.
Kaum hatten wir uns von Heartbleed erholt, ereilte uns Ende September „Shellshock“. Diese ebenfalls weltweit als äußerst kritisch eingeschätzte Sicherheitslücke „erfreute“ uns zudem mit einer sonst nur von Oracle oder Microsoft bekannten „Update-Orgie“, da wir uns letztendlich mit mindestens 6 unterschiedlichen Sicherheitslücken konfrontiert sahen. Ob Ihre aktuell im Einsatz befindlichen Bash-Versionen alle bekannten Angriffsszenarien abdecken, können Sie u. a. bei shellshocker überprüfen.
Poodle schließlich sollte endlich(!) dafür sorgen, dass wir SSLv3 in den längst überfälligen Ruhestand schicken, da entsprechend „gesicherte“ Verbindungen verwundbar für Man-in-the-middle-Angriffe sind und die Sicherheit der Verbindungen damit nicht gewährleistet ist. Kurz: Sie sollten SSLv3 sowohl client- als auch serverseitig (spätestens jetzt) deaktivieren! Beim Internet Storm Center können Sie sehr einfach Ihren Webrowser überprüfen. Ob Ihr Server noch SSLv3 unterstützt, können Sie z. B. mitilfe des SSL-Tests bei Qualys kostenlos testen.