Bereits gestern ist in einschlägigen Bereichen des Internets das Gerücht kursiert, dass heute eine Schwachstelle zu SSLv3 veröffentlicht werden wird. Bei SSLv3 handelt es sich um ein Verschlüsselungsprotokoll und den Vorgänger von TLS. Auch wenn die Vorteile von TLS überwiegen, so unterstützen viele Anwendungen und Dienste noch immer für eine Rückwärtskompatibilität das inzwischen 15 Jahre alte SSLv3. Doch zurück zur Schwachstelle: Bodo Möller, Thai Duong und Krzysztof Kotowicz vom Google Security Team haben nun in der Tat mit dem Artikel „This POODLE bites: exploiting the SSL 3.0 fallback“ die Schwachstelle heute veröffentlicht. Die Schwachstelle hat übrigens den Namen „POODLE“ (englisch für Pudel) erhalten.
Welche Auswirkungen hat diese Lücke? Angreifer im Netzwerk können durch die Schwachstelle (übrigens ein Design-/Entwicklungsfehler, d.h. unabhängig vom Betriebssystem) den Inhalt einer verschlüsselten Verbindung errechnen. Einfacher gesagt: Eine SSLv3-verschlüsselte Verbindung kann von einem Angreifer im Netzwerk entschlüsselt werden.
Aber das Beste kommt zum Schluss: mercaware ist nicht betroffen! Durch die vorausschauende und zukunftsorientierte Entwicklung wird bereits seit März mit dem Applikationsserver 2.0.1.3 für alle verschlüsselten Verbindungen rund um mercaware mindestens TLSv1 erzwungen – und sofern es Ihr Arbeitsplatz-Rechner unterstützt wird im Idealfall sogar TLSv1.2 verwendet. Selbstverständlich ist der Applikationsserver 2.0.1.3 bei allen mercaware-Kunden bereits seit März installiert.
Damit müssen wir keine unnötige Zeit in Sicherheitsupdates, Konfigurationsanpassungen oder ähnliches stecken sondern können diese Zeit vollständig in die Weiterentwicklung und Verbesserung von mercaware fließen lassen.