Woran ist die Verwundbarkeit zu erkennen? So sieht der Drown-Test bei https://test.drownattack.com im Positiv-Fall aus:
Bei einem sogenannten Root-Server, der vom Kunden selbst verwaltet wird, ist dieser nun am Zug. Und so gehts: Die Web-Server-Software wird über eine Konfigurations-Datei konfiguriert. Beim Apache heisst sie beispielsweise http.conf und liegt im Verzeichnis /etc/httpd/conf/ (bei Red Hat/CentOS/Fedora etc.) Bei Debian und Ubuntu liegt sie hier: /etc/apache2/apache2.conf .
In beiden Fällen ist hier jeweils eine Zeile hinzuzufügen:
SSLProtocol All -SSLv2
oder
SSLProtocol All -SSLv2 -SSLv3
Anschliessend ist die conf-datei zu speichern und der Web-Server-Dienst neu zu starten bzw. anzuweisen, die Konfiguration neu einzulesen (bspw.:
/etc/init.d/httpd restart oder reload.
Zusätzlich sollte die OpenSSL-Umgebung gepatched werden. Das bedeutet, dass die Software-Akualisierung durchgeführt wird. Bei RedHat/Centos/Fedora geht das so:
yum update openssl .
Damit wird der seit einigen Tagen bereit stehende Software-Patch eingespielt.
Bei einem Managed Server sollte der Hoster dies eigentlich schon selbst getan haben.
Links zum Thema:
- http://www.heise.de/security/meldung/DROWN-Angriff-SSL-Protokoll-aus-der-Steinzeit-wird-Servern-zum-Verhaengnis-3121121.html
- http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/
- http://www.spiegel.de/netzwelt/web/drownattack-forscher-warnen-vor-weit-verbreiteter-https-sicherheitsluecke-a-1080130.html
