0
DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis
Das längst vergessene SSLv2 ist Schuld an den neuesten Drown-Attacken. Sie ermöglicht es, die verschlüsselten Verbindungen der betroffenen Server zu knacken
Einen ausführlichen Beitrag dazu findet ihr auf Golem.de:
http://www.golem.de/news/bleichenbacher-angriff-drown-entschluesselt-mi ...
Webserver Konfiguration anpassen:
Hier die Änderungen an den Konfigurationsdateien der drei großen Webserver (Lighttpd, Nginx und Apache) um SSLv2 und auch gleich SSLv3 abzuschalten. Aktuell sollte nur noch TLS aktiviert sein.
Lighttpd Webserver
Ab Version 1.4.21 ist SSLv2 nicht mehr im Lighttpd enthalten.
Nginx
Apache
Danach den Webserver-Daemon neu starten und seine Seite bei Qualys SSL Labs verifizieren (siehe Ergebnis "Protocols").
Gruß
Frank
http://www.heise.de/newsticker/meldung/DROWN-Angriff-SSL-Protokoll-aus- ...
Einen ausführlichen Beitrag dazu findet ihr auf Golem.de:
http://www.golem.de/news/bleichenbacher-angriff-drown-entschluesselt-mi ...
Webserver Konfiguration anpassen:
Hier die Änderungen an den Konfigurationsdateien der drei großen Webserver (Lighttpd, Nginx und Apache) um SSLv2 und auch gleich SSLv3 abzuschalten. Aktuell sollte nur noch TLS aktiviert sein.
Lighttpd Webserver
1
2
2
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable" Ab Version 1.4.21 ist SSLv2 nicht mehr im Lighttpd enthalten.
Nginx
1
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;Apache
1
SSLProtocol all -SSLv2 -SSLv3Danach den Webserver-Daemon neu starten und seine Seite bei Qualys SSL Labs verifizieren (siehe Ergebnis "Protocols").
Gruß
Frank
http://www.heise.de/newsticker/meldung/DROWN-Angriff-SSL-Protokoll-aus- ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297807
Url: https://administrator.de/forum/drown-angriff-ssl-protokoll-aus-der-steinzeit-wird-servern-zum-verhaengnis-297807.html
Ausgedruckt am: 15.04.2025 um 11:04 Uhr
