[Postfixbuch-users] ssl clients
Winfried Neessen
wn at neessen.net
Mi Okt 15 18:03:18 CEST 2014
Hi,
Am 2014-10-15 17:13, schrieb Helmut Hullen:
> Nein - da scheint (mal wieder) viel Panikmache dabei zu sein
>
Von Panikmache wuerde ich hier nicht sprechen. SSLv3 ist schon seit
langem ein als
"obsolete" und unsicher bekanntes Protokoll. POODLE ist nur ein weiterer
Meilenstein
in diesem Konstrukt. Nur das es diesmal kaum Workarounds (anders als bei
BEAST oder
Lucky 13) gibt- ausser halt SSLv3 komplett zu deaktiveren.
> http://www.welt.de/wirtschaft/webwelt/article133284672/Durch-Poodle-koennen-Hacker-ihre-Mails-mitlesen.html
>
Ohne den Damen und Herren vom der Wirtschaftsteil der WELT in
irgendeiner Form zu Nahe
treten zu wollen, wuerde ich hier doch eher auf andere Quellen aus der
Szene bauen (z. B.
das originale Advisory von Bodo Möller[1]).
Sicherlich ist die Sache nicht ganz trivial auszunutzen, aber die Luecke
ist definitiv kritisch
und sollte nicht vernachlaessigt werden. Nicht umsonst haben Marktriesen
wie Facebook, Amazon AWS,
Akamai, Edgecast und dergl. bereits SSLv3 komplett auf ihren Systemen
deaktiviert.
Winni
[1] = https://www.openssl.org/~bodo/ssl-poodle.pdf
Mehr Informationen über die Mailingliste Postfixbuch-users