Schwerwiegende Sicherheitslücke bei HTTPS-Verbindungen (20.5.15)

[alphabeta]

Suche nach LogJam blieb im Forum ohne Erfolg, daher hier der Link zur spon-Warnung vom 20.5.15.

Mein FF 38.0.1 wurde auf der Testseite https://weakdh.org/
erst als Test nicht durchführbar angemeckert.
Als ich noScript angewiesen hatte, für diese site alles zuzulassen, kam die (erwartete) Meldung:

Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser.

So harre ich denn des kommenden Updates und halte mich erstmal mit Bankenkram etc. zurück.
- Interessant, dass der IE die Lücke schon geschlossen haben soll...

 

[Sonnenschein11]

Bei meinem iPad wird auch dieser Warnhinweise gezeigt.

Ich weiß nicht, ob ich was auf diesen Test was geben sollte.

 

[Olivetti]

Suche nach logjam: https://www.macuser.de/threads/the-logjam-attack.726259/

Fix für FF: http://www.camp-firefox.de/forum/viewtopic.php?p=965531#p965531

 

[iPhill]

Also IE und FF scheinen bereits gepatcht worden zu sein. GC und Safari spucken noch die Warnung aus...

 

[WollMac]

Seltsam, die Warnung erscheint auch bei meinem Firefox, obwohl er aktuell ist.

 

[alphabeta]

Merkwürdig, dass sich beim FF immer noch nichts getan hat, als aktuell (Stand 12:30) wird immer noch 38.0.1 vom 14.5. bezeichnet.
Und man muss bei mozilla.org längere Zeit rumtippen, bevor man auf die Seite mit der Version kommt:
https://www.mozilla.org/en-US/firefox/38.0.1/releasenotes/

Demgegenüber haben User recht schnell in verschiedenen Foren unwidersprochene Patches zum Lösen des Problems eingestellt.

Nachdem ich selbst gepatcht habe
und https://weakdh.org/ daraufhin in beruhigendem Blau jubelte
"Good News! Your browser is safe against the Logjam attack."

schreibe ich hier mal das Kochrezept rein für die, die mit about:config nicht so firm sind.
- Vorher noch der obligatorische Disclaimer:
Das Ändern erfolgt auf eigene Gefahr!

Man tippe also statt einer Adresse ein:
about:config

Und gebe in die Suche ein:
security.ssl3

Dann sollten die 2-3 Zeilen, auf die es ankommt, oben stehen:

security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha

Diese Zeilen auf 'false' stellen (durch Doppelklicken) - lässt sich genauso rückgängig machen.

Sollte bei jemandem auch die folgende Zeile auftauchen (bei mir nicht)
security.ssl3.dhe_dss_aes_128_sha

dann damit genauso verfahren.
Problem gelöst.
(Und hoffentlich keine neuen geschaffen….)

 

[Olivetti]

Im Zuge dessen kannst du auch noch alle rc4 disablen (suche nach: rc4) und
security.ssl3.rsa_fips_des_ede3_sha.

SSL3 abschalten:
security.tls.version.min => 1
security.tls.version.max => 3

 

[alphabeta]

Danke für den Tipp.

Als Krypto-Laie (selbst das ist noch zu hochgestapelt) weiss ich aber nicht, was ich mit dem Einbringen Deiner Hinweise evtl. anrichte/verhindere.
Deshalb bleib ich erst mal bei dem, was ich glaube, einigermassen überblicken zu können…

Hier bei heise wird das Thema auch weiter diskutiert (falls sich da jmd. reinknien will; gefunden über "ssl3 rc4").

Während die deutsche Wikipedia das TLS-Thema relativ kurz abhandelt, findet man in der engl. (unten in der Tabelle bei FF38 (und 39...)) für Logjam derzeit „Vulnerable“ - während mozilla weiterhin 38.0.1 als aktuell bezeichnet…

- An der Stelle klinke ich mich jetzt aus und harre der Updates, die da irgendwann kommen -

 

[Olivetti]

Ich bin so unterwegs (https://www.ssllabs.com/ssltest/viewMyClient.html):

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Forward Secrecy	128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Forward Secrecy	128
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Forward Secrecy	256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Forward Secrecy	128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Forward Secrecy	128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Forward Secrecy	256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)	256