Arme Hunde, diese Poodle: SSL v3 endgültig unsicher

Als hätte ich es geahnt, als ich letzten Monat SSL v3 abgeschaltet habe, jetzt ist die Unterstützung von SSL v3 endgültig als unsicher einzustufen: Die POODLE-Attacke hebelt gesicherte TLS/SSL-Verbindungen aus, indem der Angreifer erzwingt, dass eine verschlüsselte Verbindung selbst mit modernsten Browsern und Servern  auf die veraltete SSLv3-Verbindung zurückfällt. Und durch bekannte Schwächen dieses Systems können somit Sitzungsinformationen und damit im schlimmsten Fall auch Inhalte vom Angreifer abgegriffen werden.

Somit gibt es nur eine Empfehlung: SSLv3 abschalten! Jeder Benutzer im Browser, und alle Serverbetreiber auf den Servern.

heise.de hat den Angriffsvektor verständlich beschrieben.