[Postfixbuch-users] ssl clients

Winfried Neessen wn at neessen.net
Mi Okt 15 18:03:18 CEST 2014


Hi,

Am 2014-10-15 17:13, schrieb Helmut Hullen:

> Nein - da scheint (mal wieder) viel Panikmache dabei zu sein
> 

Von Panikmache wuerde ich hier nicht sprechen. SSLv3 ist schon seit 
langem ein als
"obsolete" und unsicher bekanntes Protokoll. POODLE ist nur ein weiterer 
Meilenstein
in diesem Konstrukt. Nur das es diesmal kaum Workarounds (anders als bei 
BEAST oder
Lucky 13) gibt- ausser halt SSLv3 komplett zu deaktiveren.

> http://www.welt.de/wirtschaft/webwelt/article133284672/Durch-Poodle-koennen-Hacker-ihre-Mails-mitlesen.html
> 

Ohne den Damen und Herren vom der Wirtschaftsteil der WELT in 
irgendeiner Form zu Nahe
treten zu wollen, wuerde ich hier doch eher auf andere Quellen aus der 
Szene bauen (z. B.
das originale Advisory von Bodo Möller[1]).

Sicherlich ist die Sache nicht ganz trivial auszunutzen, aber die Luecke 
ist definitiv kritisch
und sollte nicht vernachlaessigt werden. Nicht umsonst haben Marktriesen 
wie Facebook, Amazon AWS,
Akamai, Edgecast und dergl. bereits SSLv3 komplett auf ihren Systemen 
deaktiviert.


Winni

[1] = https://www.openssl.org/~bodo/ssl-poodle.pdf



Mehr Informationen über die Mailingliste Postfixbuch-users