SSL 3.0 POODLE-Sicherheitsanfälligkeit in OneSpan-Produkten

Beratungs-ID vasco-sa-20141017-pudel

Revisionsnummer 1.0

Erscheinungsdatum 17. Oktober 2014 13:52 UTC + 1

Letztes Update 17. Oktober 2014 13:52 UTC + 1

Zusammenfassung

Am 14. Oktober 2014 kündigten Sicherheitsforscher von Google öffentlich eine Sicherheitslücke in Version 3.0 des SSL-Protokolls (Secure Sockets Layer) an. Die Sicherheitsanfälligkeit ermöglicht es einem nicht authentifizierten Remoteangreifer, Teile der Kommunikation zu entschlüsseln, die mit dem CBC-Betriebsmodus (Cipher Block Chaining) für Blockchiffren verschlüsselt wurden. Die Sicherheitsanfälligkeit wird allgemein als "Padding Oracle On Downgraded Legacy Encryption" (POODLE) bezeichnet.

Betroffene Produkte

Folgende Produkte sind von der POODLE-Sicherheitsanfälligkeit betroffen:

  • IDENTIKEY Server 3.3, 3.4
  • IDENTIKEY Authentication Server 3.4 SR1, 3.5
  • IDENTIKEY Federation Server 1.3, 1.4, 1.5
  • IDENTIKEY Appliance 3.2.4. {2,3}, 3.4.5. {0,1}, 3.4.6. {0,1}
  • IDENTIKEY Virtual Appliance 3.4.6. {0,1}
  • aXsGUARD Gatekeeper (alle Versionen)

Beschreibung

Secure Sockets Layer (SSL) 3.0 ist ein kryptografisches Protokoll, das zum Schutz der Vertraulichkeit und Integrität von Daten verwendet wird, die über IPv4- und IPv6-Netzwerke ausgetauscht werden. Am 14. Oktober 2014 kündigten Sicherheitsforscher von Google öffentlich eine Sicherheitslücke im SSL 3.0-Protokoll an. Die Sicherheitsanfälligkeit ermöglicht es einem nicht authentifizierten Remote-Angreifer, der als Man-in-the-Middle fungiert, Teile der Kommunikation zu entschlüsseln, die mit dem CBC-Betriebsmodus (Cipher Block Chaining) für Blockchiffren verschlüsselt wurden. Insbesondere ermöglicht die Sicherheitsanfälligkeit dem Angreifer, ein bestimmtes Byte des Chiffretextes mit höchstens 256 Versuchen zu entschlüsseln. Die Sicherheitsanfälligkeit besteht aufgrund der Reihenfolge der Verschlüsselung und Nachrichtenauthentifizierung sowie aufgrund der Art der Auffüllung in SSL 3.0.

Die Sicherheitsanfälligkeit wird allgemein als "Padding Oracle On Downgraded Legacy Encryption" (POODLE) bezeichnet. Dies gilt nicht für TLS-Protokolle (Transport Layer Security).

Dieser Sicherheitsanfälligkeit wurde die CVE-ID CVE-2014-3566 (Common Vulnerabilities and Exposures) zugewiesen.

Severity Score

Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.

CVSS Base Score: 2.6

Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Hoch Keiner Teilweise Keiner Keiner

 

CVSS Temporal Score: 2.5
Ausnutzbarkeit Sanierungsstufe Vertrauen melden
Funktionell Nicht verfügbar Bestätigt

 

Produktkorrekturen

OneSpan wird folgende Patches veröffentlichen:

  • IDENTIKEY Federation Server 1.4.4, 1.5.3 am 22. Oktober 2014

OneSpan wird folgende Produkte veröffentlichen:

  • aXsGUARD Gatekeeper 8.0.0, Stand 23. Oktober 2014

Kunden, die IDENTIKEY Federation Server 1.3 verwenden, wird empfohlen, IDENTIKEY Federation Server 1.4 oder 1.5 zu aktualisieren und den entsprechenden Patch anzuwenden.

Kunden, die betroffene Versionen von IDENTIKEY Server oder IDENTIKEY Authentication Server verwenden, wird empfohlen, ein Upgrade auf IDENTIKEY Authentication Server 3.6 durchzuführen, in dem SSL 3.0 standardmäßig deaktiviert ist. Alternativ können Kunden SSL 3.0 manuell deaktivieren und TLS 1.x aktivieren.

Kunden, die betroffene Versionen der IDENTIKEY Appliance oder der IDENTIKEY Virtual Appliance verwenden, wird empfohlen, ein Upgrade auf IDENTIKEY (Virtual) Appliance 3.4.6.2 oder höher durchzuführen, in der SSL 3.0 standardmäßig deaktiviert ist.

Kunden, die betroffene Versionen von aXsGUARD Gatekeeper verwenden, können SSL 3.0 manuell deaktivieren oder auf Version 8.0.0 aktualisieren, in der SSL 3.0 standardmäßig deaktiviert ist.

Ort

Für aXsGUARD Gatekeeper-Produkte:

OneSpan stellt Patches über den automatisierten Update-Service bereit. Kunden, die nicht zulassen, dass ihr System über diesen Service aktualisiert wird, sollten sich an OneSpan wenden, um Anweisungen zum Erhalt des Patches zu erhalten.

Für andere Produkte:

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.

Referenz

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

https://www.openssl.org/~bodo/ssl-poodle.pdf

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.

🖨 SSL 3.0 POODLE-Sicherheitsanfälligkeit in OneSpan-Produkten