[Discuss] DROWN-Attack ... @ your device? (sorry for crossposting)

[Matthias Šubik]

Hallo allerseits,
wie Ihr vielleicht schon auf der Heise/Golem/sonstwo Startseite gesehen habt,
gibt es eine unangenehme Lücke in OpenSSL, die dazu ausgenutzt werden kann, den verschlüsselten Datenverkehr zu und von Geräten zu entschlüsseln.  Hierbei wird ausgenutzt, dass SSLv2 noch auf einem Port (oft ein Mailserverport) aktiv ist. Ist das Zertifikat ident, kann man sogar die Daten vom und zum Webserver aus der Vergangenheit dekodieren!

Deshalb bitte:
Prüft ob Eure IP(s) beim Test dabei waren:
https://drownattack.com/#test 

Updates machen hilft, am besten auch gleich manuell sicherstellen, dass SSLv2 und v3 garantiert abgestellt sind.
Wenn Ihr dabei Hilfe braucht, können wir uns darüber auf (spam-protected) austauschen,
bzw. in kritischen Fällen natürlich auch beim abuse-team ((spam-protected)), auf Wunsch auch vertraulich.

Beste Grüße
Matthias