Weblog

door Bas onder | 0 comments

Kwetsbaarheid in SSLv3 Gevonden

Na de recente Heartbleed-bug is opnieuw een kwetsbaarheid in SSL gepubliceerd. Deze keer betreft het een kwetsbaarheid in een protocol waarmee aanvallers de communicatie tussen een website en een bezoeker kunnen afluisteren.

SSL wordt gebruikt als versleutelingsmechanisme: door een boodschap te versleutelen met een sleutel die enkel bij de server en de browser van de bezoeker bekend is kan vertrouwelijke informatie veilig heen en weer worden verstuurd. Van SSL bestaan verschillende versies en in een van de oudere versies (versie 3.0) is nu een kwetsbaarheid ontdekt.

Aangezien het hier een kwetsbaarheid in het protocol zelf betreft is het niet mogelijk om een softwarepatch uit te brengen; de enige oplossing is deze SSL versie niet meer te gebruiken.

Bij het opzetten van een SSL-verbinding spreken de webserver en de webbrowser van de bezoeker samen af welk van de wederzijds ondersteunde protocollen wordt gebruikt voor het verselutelen van de communicatie. Hierbij wordt geprobeerd om de best mogelijke versleuteling te gebruiken en wordt in stapjes teruggevallen naar oudere protocollen. In standaardconfiguraties van webservers is SSL v.3.0 nog toegestaan dus in theorie kan worden teruggevallen op een kwetsbaar protocol.

Wij adviseren u dan ook om SSL versie 3.0 uit te zetten in uw webserver zodat niet onbewust informatie kan worden gelekt.

Houdt u rekening met het feit dat met het deactiveren van het protocol Internet Explorer 6.0 definitief niet meer ondersteund wordt. Deze browser wordt al als zeer verouderd beschouwd, maar in sommige hele specifieke omgevingen wordt deze browser nog steeds gebruikt.

Om SSL versie 3.0 en ouder uit te zetten kunt u de volgende configuratie opnemen:

Apache
Voor Apache2 moet u de configuratie-optie SSLProtocol aanpassen:
SSLProtocol All -SSLv2 -SSLv3

Hiermee worden alle moderne protocollen (TLS v1.0) toegestaan en worden SSL v2.0 en SSL v3.0 gedeactiveerd.

NGINX
Voor NGINX gebruikt u de configuratie-optie ssl_protocols:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Hiermee worden expliciet enkel TLS v1.0, v1.1 en v1.2 toegestaan; SSL v2.0 en SSL v3.0 zijn hiermee niet toegestaan.

Lighttpd
Voor Lighttpd geeft u per protocol aan dat deze niet mag worden gebruikt:
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"

Hiermee worden expliciet SSL v2.0 en SSL v3.0 gedeactiveerd.

Internet Information Server (IIS)
Voor IIS dient u een aantal hotkeys in de Windows Registry in te stellen; welke hotkeys dat zijn hangt af van de versie van IIS. U kunt daarvoor de instructies van de Microsoft Knowledge Base volgen: http://support.microsoft.com/kb/245030

 

Voor meer algemene informatie over deze kwetsbaarheid kunt u hier kijken:
http://www.nu.nl/internet/3903631/weer-groot-lek-in-beveiligingsprotocol-ssl-ontdekt.html

Een technische uitleg vindt u hier:
https://www.imperialviolet.org/2014/10/14/poodle.html


Als u wil testen of uw webserver kwetsbaar is voor deze bug kunt u gebruik maken van de volgende test:
http://poodlebleed.com/

Voor de volledigheid: SSL kan ook op andere plekken worden gebruikt zoals in mailservers die TLS ondersteunen of in loadbalancers zoals haproxy. Ook hiervoor geldt dat SSL v3.0 moet worden uitgezet. De aanpassing hiervoor is echter specifiek afhankelijk van uw configuratie, deze configuraties zijn gebruikelijk geen onderdeel van een standaard installatie.

Verder wordt voor Linux en andere Unixen binnenkort een update uitgebracht voor OpenSSL. Deze update zorgt ervoor dat bij browsers en servers die TLS ondersteunen niet terug kan worden gevallen op het onveilige SSL v3.0. Dit is echter een oplossing met een heel beperkt bereik aangezien deze oplossing enkel werkt wanneer zowel de browser als de server ondersteuning bieden voor de optie TLS_FALLBACK_SCSV. Als dit niet het geval is kan alsnog worden teruggevallen op SSL v3.0. Wij adviseren u daarom ten sterkste om alsnog SSLv3.0 te deactiveren indien u dit niet strikt nodig heeft.

Heeft u een SLA2- of SLA3-overeenkomst met CloudVPS?
Dan zullen wij na een bevestiging van u uw VPS voor u beveiligen, u ontvangt hierover nog nader bericht van ons.

Heeft u een SLA1-overeenkomst op uw VPS?
Dan kunt u de bovenstaande informatie gebruiken om uw webserver te beveiligen. Indien gewenst kunt u ook de aanpasingen door ons laten uitvoeren tegen een kleine vergoeding. Stuurt u hiervoor dan een mail naar onze Servicedesk op support@cloudvps.com.

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen