ERP LOGISTICS

Home
» Ein Service des Fraunhofer IML


Prozessorientierte ERP Auswahl

Digitalisierung von Prozessen und herstellerneutrale Software Beratung für Industrie- und Handelsunternehmen

SSLv2-verschlüsselte Verbindungen können durch Angreifer mittels DROWN entschlüsselt werden

Am Dienstag, den 01.03.2016 wurde die Schwachstelle „DROWN“ (Decrypting RSA with Obsolete and Weakened eNcryption) öffentlich bekannt gemacht, die von Nimrod Aviram und Sebastian Schinzel entdeckt wurde.

Durch diese Protokoll­schwachstelle ist es möglich SSLv2-verschlüsselte Verbindungen zu knacken. Bei SSLv2 handelt es sich um ein Verschlüsselungs­protokoll und den Vorgänger von TLS. Auch wenn die Vorteile von TLS überwiegen, so setzen laut der Webseite drownattack.com etwa 33% aller HTTPS-Dienste im Internet noch auf das inzwischen 21 Jahre alte SSLv2.

Welche Auswirkungen hat diese Lücke? Angreifer im Netzwerk können durch die Schwachstelle (übrigens ein Design-/Entwicklungsfehler, d.h. unabhängig vom Betriebssystem) den Inhalt einer verschlüsselten Verbindung knacken. Einfacher gesagt: Eine SSLv2-verschlüsselte Verbindung kann von einem Angreifer im Netzwerk entschlüsselt werden.

Aber das Beste kommt zum Schluss: mercaware ist von DROWN nicht betroffen! Durch die vorausschauende und zukunftsorientierte Entwicklung wird bereits seit März 2014 mit dem Applikationsserver 2.0.1.3 für alle verschlüsselten Verbindungen rund um mercaware mindestens TLSv1 erzwungen – und sofern es Ihr Arbeitsplatz-Rechner unterstützt wird im Idealfall sogar TLSv1.2 verwendet. Selbstverständlich ist der Applikationsserver 2.0.1.3 bei allen mercaware-Kunden bereits seit März 2014 installiert.

Damit sind die Daten in der mercaware-Cloud bzw. auf Ihrem Rechner sicher von den DROWN-Angriffen. Es ist nichts zu tun außer unsere Zeit vollständig in die Weiterentwicklung und Verbesserung von mercaware fließen zu lassen.