Vulnérabilité Poodle sur SSLv3 : liens en vrac

Par @Quack1 dans le
Tags : #Sécurité, #SSL, #TLS, #Poodle, #planet-libre,
Partagez cet article! ~ Google+ ~ ~ Linkedin ~ Mail
Flattr this

Une vulnérabilité critique sur SSLv3 — qui devait ne plus être utilisé depuis longtemps — a été découverte par les équipes sécurité de Google.

Je passe les détails techniques, l'important est qu'elle permet à un attaquant de déchiffrer le trafic en injectant du padding dans certains paquets.

Le workaround pour cette vulnérabilité : désactiver totalement le support de SSLv3 dans la configuration des serveurs (ce qui devrait normalement déjà être le cas).

Pour voir si les serveurs sont vulnérables, il suffit simplement d'essayer de se connecter au serveur en utilisant SSLv3 :

$ openssl s_client -connect <server>:<port> -ssl3​

Quelques liens en vrac :

Cet article est libre et diffusé sous une licence Creative Commons CC-BY-NC. Vous pouvez rémunérer son auteur en utilisant le système Flattr :
Flattr this

Comments !