dz :: die it-welt kommentiert

Content Delivery, Communication, Messaging und mehr

Tag: "poodle"

Oktober 24, 2014
Posted by on Oct 24 2014 in Sicherheit, Microsoft Lync/Skype for Business, 2010, Content Delivery

Lync (Phone Edition) and POODLE - switch off SSL 3.0 safely (English version)

Padding Oracle On Downgraded Legacy Encryption - aka POODLE (CVE-2014-3566) describes an attack against the SSL 3.0 protocol, which is a predecessor to the current protocols TLS 1.x. SSL 3.0 is outdated, TLS 1.0, 1.1, and 1.2 are specified, have been implemented for a while, and also includes better encryption algorithms. There is no reason to use SSL 3.0 anymore, as long as all components of an application support at least TLS 1.0.

This is true for soft-phones that run on Windows Vista/Server 2008 or later, therefore no problem for Lync 2010/2013 (server and client). But what about the Lync phone edition? The devices run on Windows Embedded CE 6.0 on an ARM platform. So, what about disabling SSL 3.0 in regards to desktop IP phones with Lync phone edition? This is the question that I was confronted with.

You can simply test it, but here is some background information that I was not able to find when I was searching for it, so I had a reason for this article.

Read more »

Posted by on 24 Okt 2014 in Sicherheit, Microsoft Lync/Skype for Business, 2010, Content Delivery

Lync (Phone Edition) und POODLE - SSL 3.0 sicher abschalten

Padding Oracle On Downgraded Legacy Encryption - kurz POODLE (CVE-2014-3566) beschreibt einen Angriff auf das Protokoll SSL 3.0, welches ein Vorgängerprotokoll der aktuellen Protokolle TLS 1.x ist. SSL 3.0 ist veraltet, TLS 1.0, 1.1 und 1.2 spezifiziert und schon lange implementiert, bessere Verschlüsselungsalgorithmen inklusive. Es gibt also keinen Grund mehr, SSL 3.0 einzusetzen, wenn sichergestellt ist, dass alle Komponenten einer Applikation mindestens TLS 1.0 unterstützen.

Dies ist für Soft-Clients, die unter Windows Vista/Server 2008 oder neuer laufen, kein Problem, somit auch nicht für Lync 2010/2013 (Server und Client). Aber wie sieht es mit der Lync Phone Edition aus? Die auf einer ARM-Plattform aufsetzenden Geräte laufen unter Windows Embedded CE 6.0. Wie sieht es also aus mit der Deaktivierung von SSL 3.0 in Bezug auf Desktop-IP-Telefone mit Lync Phone Edition? Das ist die Frage, vor der ich stand.

Man kann es einfach ausprobieren, hier sind ein paar Hintergrundinformationen, die ich bisher nicht gefunden habe. Daher nun der Artikel.

Mehr lesen »