La semaine dernière, des rumeurs circulaient sur une nouvelle vulnérabilité dans SSL v3. Aucun détail n'a été largement disponibles jusqu'à aujourd'hui et nous avons maintenant POODLE ou le «Padding Oracle On Downgraded Legacy Encryption". L'attaque, permet d'obtenir le texte en clair de certaines parties d'une connexion SSL, tels que le cookie. Similaire à BEAST, mais plus pratique pour mener à bien, POODLE pourrait bien signifier la fin du support du protocole SSL v3. Je vais vous donner dans cet article, vous fournir les outils pour tester si vous êtes vulnérable et comment le corriger.

Tester si votre serveur est vulnérable :

Vos serveurs sont vulnérables tout simplement si elles soutiennent SSLv3

Voici des solutions pour tester si le protocole est actif.

Tester avec OpenSSL :

#openssl s_client -connect <serveur>:<port> -ssl3

Il faut biensur remplacer <serveur> et <port> par les informations de votre serveur. 
Ex: openssl s_client -connect www.duhaz.fr:443 -ssl3

Si la connexion réussit , SSLv3 est activée . Si elle échoue, elle est désactivée . Quand il échoue, vous devriez voir quelque chose comme : error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure


Tester avec Nmap :

nmap --script ssl-enum-ciphers -p<port> <serveur>

Il faut biensur comme pour Openssl remplacer <serveur> et <port> par les informations de votre serveur. 
Ex: nmap --script ssl-enum-ciphers -p443 www.duhaz.fr

Si vous avez la réponce "SSLv3: No supported ciphers found" le protocol est bien désactivé.

Tester avec un outil tier :

Qualys SSL Test

Voici le résulta que vous devez voir dans la liste des protocles supporté.

Désactiver le protocole SSLv3 sur Apache:

Pour désactiver SSL v3 sur votre serveur Apache, vous pouvez configurer à l'aide de la commande suivante

SSLProtocol All -SSLv2 -SSLv3

Ce garde les protocoles pour TLSv1.0, TLSv1.1 et TLSv1.2, mais supprime le SSLv2 et SSL v3.

Vérifiez la configuration, puis redémarrez Apache.

apachectl configtest
sudo service apache2 restart

Désactiver le protocole SSLv3 sur NGINX :

Désactiver le support SSL v3 sur Nginx est également très facile, vous pouvez configurer à l'aide de la commande suivante.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Vous pouvez vérifier la configuration et redémarrer.

sudo nginx -t
sudo service nginx restart

Désactiver le protocole SSLv3 sur IIS:

Dans le cas de IIS, il faudra modifier une valeur dans la base de registre et redémarer le serveur.

Ouvrez Regedit et allez dans le dossier suivant :

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

Chercher les dossier nomé "SSL 2.0" et "SSL 3.0", si ils n'existe pas créer les.

Dans chaqu'un des dossiers allez dans le sous dossier "Server", et crée une clée de type "DWORD" avec la valeur "0".

Voici une impression d'écran qui pourra vous aidez.

  • Partager
  • Url: http://www.duhaz.fr/blog/nouvelle-vulnerabilite-dans-le-monde-des-ssl/