[Plesk] Schwachstelle bezüglich LOGJAM TLS DH (CVE-2015-4000)

Created:

2016-11-16 13:03:45 UTC

Modified:

2017-08-16 16:27:11 UTC

6

Was this article helpful?


Have more questions?

Anfrage einreichen

[Plesk] Schwachstelle bezüglich LOGJAM TLS DH (CVE-2015-4000)

Applicable to:

  • Plesk 10.x for Linux
  • Plesk 12.5 for Linux
  • Plesk 11.x for Linux
  • Plesk 11.x for Windows
  • Plesk 12.0 for Windows
  • Plesk 12.0 for Linux

Kennzeichen

Eine Schwachstelle CVE-2015-4000 ist in der TLS-Protokollimplementierung vorhanden: "Logjam". Logjam ist ein neuer Angriff auf das Protokoll Diffie-Hellman-Schlüsselaustausch, das in TLS verwendet wird.

Informationen zum Angriff:

"Durch den Logjam-Angriff kann ein Man-in-the-Middle-Angreifer anfällige TLS-Verbindungen auf eine Export-Verschlüsselung von 512-Bit downgraden. Damit kann der Angreifer alle Daten, die über die Verbindung gesendet werden, lesen und ändern. Dieser Angriff erinnert an den FREAK-Angriff, doch in diesem Fall ist die Schwachstelle auf einen Fehler im TLS-Protokoll und nicht auf die Implementierung zurückzuführen. Angegriffen wird der Diffie-Hellman-Schlüsselaustausch und nicht der RSA-Schlüsselaustausch. Von diesem Angriff können alle Server betroffen sein, die DHE_EXPORT-Verschlüsselung unterstützen. Außerdem sind auch alle modernen Webbrowser betroffen. 8,4 % der 1 Million am meisten verwendeten Domains waren zu Beginn anfällig."

Die Schwachstelle wird außerdem in diesem Whitepaper beschrieben.

Lösung

Linux:

Die Betriebssystemanbieter haben folgende Sicherheitshinweise veröffentlicht, um auf die Schwachstelle einzugehen:

Debian

RedHat/CentOS

Ubuntu

Wir haben eine Patch-Datei in Übereinstimmung mit den Empfehlungen im Handbuch zur Bereitstellung von Diffie-Hellman für TLS erstellt.

Verwenden Sie das Skript zuerst in einer Testumgebung. Wenden Sie sich bei Problemen an den technischen Support von Plesk.

Das Skript korrigiert den Fehler, wenn Sie OpenSSL 1.0.1 und höher verwenden. Frühere Versionen unterstützen TLS v1.1 und TLS v1.2 nicht.

Verwendung:

~# wget https://support.plesk.com/hc/article_attachments/115004355285/SSLfix.zip
~# unzip SSLfix.zip
~# chmod +x SSLfix.sh

./SSLfix.sh [v3|dh] [service name like apache, nginx]

Wenn Sie keine Argumente angeben, wird der Patch für alle Service-Konfigurationen für SSLv3 (Poodle) und schwache DH-Schlüssel (Logjam) angewendet.

HINWEIS: Mit diesem Skript sind Sie auch vor der Schwachstelle CVE-2014-3566: POODLE attack geschützt.

Windows:

  1. Öffnen Sie den Gruppenrichtlinienobjekt-Editor. Führen Sie dazu gpedit.msc in der Eingabeaufforderung aus.
  2. Klicken Sie auf Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen.
  3. Öffnen Sie unter SSL-Konfigurationseinstellungen die Einstellung Reihenfolge der SSL-Verschlüsselungssammlungen .
  4. Legen Sie eine starke Reihenfolge für die Verschlüsselungssammlung fest. Sehen Sie sich die Liste der unterstützten Verschlüsselungen von Microsoft und die Anleitung zur TLS-Konfiguration von Mozilla an.

Attachments:

Haben Sie Fragen? Anfrage einreichen
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.