SSLv3 und Poodle
Poodle ist eine schwerwiegende Sicherheitslücke in verschiedenen Internet-Protokollen, wodurch über verschlüsselte Verbindungen private Daten von Clients und Servern ausgelesen werden können.
Mit der Installation des SSLserverPi_V1_3.py ist das SSLv3 Protokoll bereits deaktiviert. Die Version SSLserverPi_V1_2.py hat das SSLv3 Protokoll noch aktiviert und sollte nur in Ausnahmefällen installiert werden.
SSLserverPi_V1_2.py ist jene Version, die mit der Python Version 2.7.3 läuft. Diese Python Version ist in der Raspberry pi Betriebssystem Raspbian Version „wheezy“ enthalten.
Die neue Rapbian Version „jessie“ wird bereits mit der Python Version 2.7.9 ausgeliefert und kann somit mit SSLserverPi_V1_3.py laufen.
Leider ist es nicht möglich auf „wheezy“, mittels Raspbian Repository, Python 2.7.9 zu installieren.
Die Eingabe des Befehls „ sudo apt-get install python2.7.9“ bringt eine Fehlermeldung. Im Artikel Raspbian pi auf Python 2.7.9 updaten wird beschrieben, wie man die Betriebssystemversion whezzy denoch installieren kann. Um zu überprüfen ob auf dem Raspberry pi das SSLv3 Protokoll deaktiviert ist kann man folgenden Befehl absetzen.
# nmap -sV --version-light --script ssl-poodle -p 10023 192.168.0.50
Bitte ersetze -p 10023 mit Deiner gewählten Port Nummer und 192.168.0.50 mit der IP Adresse
Im Idealfall erhält man von nmap folgende Rückmeldung:
Starting Nmap 7.01 ( https://nmap.org ) at 2016-11-18 11:13 CET
Nmap scan report for 192.168.0.50
Host is up (0.0022s latency).
PORT STATE SERVICE VERSION
10023/tcp open ssl/unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port10023…….
….
Zum Vergleich die Meldungen mit laufendem SSLserverPi_V1_2.py:
# nmap -sV --version-light --script ssl-poodle -p 10023 192.168.0.50
Starting Nmap 7.01 ( https://nmap.org ) at 2016-11-18 11:20 CET
Nmap scan report for 192.168.0.50
Host is up (0.0050s latency).
PORT STATE SERVICE VERSION
10023/tcp open ssl/unknown
| ssl-poodle:
| VULNERABLE:
| SSL POODLE information leak
| State: LIKELY VULNERABLE
| IDs: OSVDB:113251 CVE:CVE-2014-3566
| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and
| other products, uses nondeterministic CBC padding, which makes it easier
| for man-in-the-middle attackers to obtain cleartext data via a
| other products, uses nondeterministic CBC padding, which makes it easier
| for man-in-the-middle attackers to obtain cleartext data via a
| padding-oracle attack, aka the "POODLE" issue.
| Disclosure date: 2014-10-14
| Check results:
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_FALLBACK_SCSV properly implemented
| References:
| https://www.imperialviolet.org/2014/10/14/poodle.html
| http://osvdb.org/113251
| https://www.openssl.org/~bodo/ssl-poodle.pdf
|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
……
…..