Drown-Attack

In jedem Fall sollte ein fachkundiger Admin zu Rate gezogen werden, um sicherzustellen, dass eine mögliche Verwundbarkeit erkannt und behoben wird.

Woran ist die Verwundbarkeit zu erkennen? So sieht der Drown-Test bei https://test.drownattack.com im Positiv-Fall aus:

Bei diesem Hoster, der u.a. für die Berliner Wirtschaftsförderung arbeitet, besteht also noch Verbesserungpotential.
Hier besteht also noch Verbesserungpotential. Offenbar laufen hier Website, Intranet und interne Dienste auf demselben Server.

Bei einem sogenannten Root-Server, der vom Kunden selbst verwaltet wird, ist dieser nun am Zug. Und so gehts: Die Web-Server-Software wird über eine Konfigurations-Datei konfiguriert. Beim Apache heisst sie beispielsweise http.conf und liegt im Verzeichnis /etc/httpd/conf/ (bei Red Hat/CentOS/Fedora etc.) Bei Debian und Ubuntu liegt sie hier: /etc/apache2/apache2.conf .
In beiden Fällen ist hier jeweils eine Zeile hinzuzufügen:

SSLProtocol All -SSLv2

oder

SSLProtocol All -SSLv2 -SSLv3

Anschliessend ist die conf-datei zu speichern und der Web-Server-Dienst neu zu starten bzw. anzuweisen, die Konfiguration neu einzulesen (bspw.:

/etc/init.d/httpd restart oder reload.

Zusätzlich sollte die OpenSSL-Umgebung gepatched werden. Das bedeutet, dass die Software-Akualisierung durchgeführt wird. Bei RedHat/Centos/Fedora geht das so:

yum update openssl .

Damit wird der seit einigen Tagen bereit stehende Software-Patch eingespielt.

Bei einem Managed Server sollte der Hoster dies eigentlich schon selbst getan haben.

 

Links zum Thema: