Am 01. März 2016 wurde bekannt, dass vor allem Server, welche das alte Verschlüsselungsprotokoll SSLv2 unterstützen, verwundbar sind. Wir haben eine interne Bewertung des Sachverhaltes anhand der zugänglichen Informationen durchgeführt und kommen zu folgendem Ergebnis:

• Es sind folgende Systeme angreifbar:
  • Systeme, die in einem der betriebenen Dienste SSLv2 unterstützen
  • Insofern dasselbe Verschlüsselungszertifikat auf mehreren Servern eingesetzt wird, und einer der Server noch SSLv2 unterstützt, so ist die Verwundbarkeit all jener Server gegeben
• Die Sicherheitslücke betrifft die von uns administrierten Systeme nicht, da wir seit längerer Zeit das SSL-Protokoll nicht mehr unterstützen
• Betroffen sein können all jene Betriebssysteme von Kunden, die nicht von der managedhosting.de GmbH konfiguriert werden. In diesem Fall sind vom Kunden folgende Maßnahmen zu treffen:
  • Insofern nicht für den Betrieb notwendig: Deaktivierung des gesamten SSL-Protokolls und Einsatz von TLS
  • Aktualisierung der verwendeten Pakete (openssl)

Unserer Einschätzung nach, ist eine Ausnutzung dieser Sicherheitslücke auf den von managedhosting.de administrierten Servern nicht möglich. Unabhängig davon werden wir betroffene Komponenten entsprechend den vereinbarten SLAs mit Updates versehen, sobald diese von den Herstellern verfügbar sind.

Quellen und weiterführende Informationen:

• https://access.redhat.com/security/vulnerabilities/drown
• https://access.redhat.com/security/cve/CVE-2016-0800
• https://drownattack.com/drown-attack-paper.pdf