Die "Poodle" Lücke, wird als eine schwerwiegende Sicherheitslücke bei Internet Verbindungen bezeichnet. Welche private Daten von Servern und Clients in der Verbindung auslesen können.
Es wird bei diesen "Man in the middle Angriffen" erzwungen das nicht TLS 1.2 / 1.1 oder 1.0 verwendet wird, sondern dass das alte Protokoll SSL 3.0 verwendet wird. relative simpels SSL 3.0 Fallback.
Am besten schaltet Ihr bei den Webbrowser auf euren PC SSL 3.0 aus:
  • Version 34 des Mozilla Firefox-Browsers deaktiviert SSL 3.0. In älteren Firefox-Versionen (sowie in Mozilla Thunderbird und SeaMonkey) muss unter about:config die Einstellung "security.tls.version.min" auf den Wert "1" gesetzt werden.
  • In Google Chrome und Chromium wird SSL 3.0 manuell auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1 abgeschaltet. Ab Version 40 kann der Browser Chrome ohne diese Parameter-Eingabe abgesichert betrieben werden.
  • Im Internet Explorer muss unter "Internetoptionen" > "Erweitert" > "Sicherheit" der Haken bei "SSL 3 verwenden" entfernt werden. Lediglich der ursprünglich mit Windows XP ausgelieferte Browser Internet Explorer 6 unterstützt das nachfolgende TLS 1.0 noch nicht.


Quelle: Wikipedia
Die genaue Sicherheitslücke wird auf folgenden zwei Links erklärt:
NVD - Detail
NVD - Detail
Wir schauen uns aber nun ab, was bei Fortinet Produkten zu machen ist um diese Problematik direkt Serverseitig zu lösen:
Betroffene Produkte:
Fortigate, Fortimail, Fortianalyzer, Fortimanager, FortiAuthenicator nur v3.0, Fortiweb, FortiDDos bis v4.1.3,FortiADC-D, FortiClient, FortiVoice, FortiRecorder, FortiDB, FortiSwitch
Bei allen oben genannten FortiOS Produkten ist folgendes via CLI einzugeben:
Code:
    
config system global  
set strong-crypto enable  
end
Für VIP Load Balance:
Code:
config firewall vip   
edit "your_vip"  
set ssl-min-version tls-1.0  
end
Für WanOptimizer:
Code:
config wanopt ssl-server 
edit   
set ssl-min-version tls-1.0  
end
For SIP SSL (Nur bei grösseren Geräte):
Code:
config voip profile
edit     
config sip
set ssl-mode full
set ssl-min-version tls-1.0
Fortimail:
Code:
 
 config system global
 set strong-crypto enable
 end
FortiADC-E:
Code:
System->Load Balance->Clusters->Security->SSL: Entfernen der Checkbox "Allow SSLv3"
FortiDDos:
Upgrade auf 4.1.3
FortiWeb:
Upgrade auf 5.3.2 oder 5.2.4 und folgende Schritte in der CLI:
Code:
config system advanced
set no-sslv3 enable
end
config system global
set no-sslv3 enable
end
Sollten noch Fragen sein könnt Ihr mich gerne Kontaktieren.
LG Alex