Die "Poodle" Lücke, wird als eine schwerwiegende Sicherheitslücke bei Internet Verbindungen bezeichnet. Welche private Daten von Servern und Clients in der Verbindung auslesen können.
Es wird bei diesen "Man in the middle Angriffen" erzwungen das nicht TLS 1.2 / 1.1 oder 1.0 verwendet wird, sondern dass das alte Protokoll SSL 3.0 verwendet wird. relative simpels SSL 3.0 Fallback.
Die genaue Sicherheitslücke wird auf folgenden zwei Links erklärt:
NVD - Detail
NVD - Detail
Wir schauen uns aber nun ab, was bei Fortinet Produkten zu machen ist um diese Problematik direkt Serverseitig zu lösen:
Betroffene Produkte:
Fortigate, Fortimail, Fortianalyzer, Fortimanager, FortiAuthenicator nur v3.0, Fortiweb, FortiDDos bis v4.1.3,FortiADC-D, FortiClient, FortiVoice, FortiRecorder, FortiDB, FortiSwitch
Bei allen oben genannten FortiOS Produkten ist folgendes via CLI einzugeben:
Für VIP Load Balance:
Für WanOptimizer:
For SIP SSL (Nur bei grösseren Geräte):
Fortimail:
FortiADC-E:
FortiDDos:
Upgrade auf 4.1.3
FortiWeb:
Upgrade auf 5.3.2 oder 5.2.4 und folgende Schritte in der CLI:
Sollten noch Fragen sein könnt Ihr mich gerne Kontaktieren.
LG Alex
Es wird bei diesen "Man in the middle Angriffen" erzwungen das nicht TLS 1.2 / 1.1 oder 1.0 verwendet wird, sondern dass das alte Protokoll SSL 3.0 verwendet wird. relative simpels SSL 3.0 Fallback.
Am besten schaltet Ihr bei den Webbrowser auf euren PC SSL 3.0 aus:
- Version 34 des Mozilla Firefox-Browsers deaktiviert SSL 3.0. In älteren Firefox-Versionen (sowie in Mozilla Thunderbird und SeaMonkey) muss unter about:config die Einstellung "security.tls.version.min" auf den Wert "1" gesetzt werden.
- In Google Chrome und Chromium wird SSL 3.0 manuell auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1 abgeschaltet. Ab Version 40 kann der Browser Chrome ohne diese Parameter-Eingabe abgesichert betrieben werden.
- Im Internet Explorer muss unter "Internetoptionen" > "Erweitert" > "Sicherheit" der Haken bei "SSL 3 verwenden" entfernt werden. Lediglich der ursprünglich mit Windows XP ausgelieferte Browser Internet Explorer 6 unterstützt das nachfolgende TLS 1.0 noch nicht.
Quelle: Wikipedia
Die genaue Sicherheitslücke wird auf folgenden zwei Links erklärt:
NVD - Detail
NVD - Detail
Wir schauen uns aber nun ab, was bei Fortinet Produkten zu machen ist um diese Problematik direkt Serverseitig zu lösen:
Betroffene Produkte:
Fortigate, Fortimail, Fortianalyzer, Fortimanager, FortiAuthenicator nur v3.0, Fortiweb, FortiDDos bis v4.1.3,FortiADC-D, FortiClient, FortiVoice, FortiRecorder, FortiDB, FortiSwitch
Bei allen oben genannten FortiOS Produkten ist folgendes via CLI einzugeben:
Für VIP Load Balance:
Für WanOptimizer:
For SIP SSL (Nur bei grösseren Geräte):
Fortimail:
FortiADC-E:
FortiDDos:
Upgrade auf 4.1.3
FortiWeb:
Upgrade auf 5.3.2 oder 5.2.4 und folgende Schritte in der CLI:
Sollten noch Fragen sein könnt Ihr mich gerne Kontaktieren.
LG Alex
Wenn "Server" eine Religion ist, haben wir die passende Kathedrale dazu!
Mehr Infos unter www.fsit.com oder Facebook