Nouvelle vulnérabilité dans le monde des SSL

La semaine dernière, des rumeurs circulaient sur une nouvelle vulnérabilité dans SSL v3.



Aucun détail n'a été largement disponibles jusqu'à  aujourd'hui et nous avons maintenant POODLE ou le A«Padding Oracle On Downgraded Legacy Encryption.



L'attaque, permet d'obtenir le texte en clair de certaines parties d'une connexion SSL, tels que le cookie.



Similaire à  BEAST, mais plus pratique pour mener à  bien, POODLE pourrait bien signifier la fin du support du protocole SSL v3.



Je vais vous donner dans cet article, vous fournir les outils pour tester si vous êtes vulnérable et comment le corriger.

Tester si votre serveur est vulnérable :



Vos serveurs sont vulné'rables tout simplement si elles soutiennent SSLv3





Voici des solutions pour tester si le protocole est actif.





Tester avec OpenSSL :

















#openssl s_client -connect <'serveur>':<'port>' -ssl3




Il faut biensur remplacer <'serveur>' et <'port>' par les informations de votre serveur.


Ex:openssl s_client -connect www.duhaz.fr:443 -ssl3





Si la connexion ré'ussit , SSLv3 est activé'e . Si elle é'choue, elle est dé'sactivé'e . Quand il é'choue, vous devriez voir quelque chose comme : error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure








Tester avec Nmap :

















nmap --script ssl-enum-ciphers -p<'port>'<'serveur>'




Il faut biensur comme pour Openssl remplacer <'serveur>' et <'port>' par les informations de votre serveur.


Ex:nmap --script ssl-enum-ciphers -p443 www.duhaz.fr





Si vous avez la ré'ponce "'SSLv3: No supported ciphers found"' le protocol est bien dé'sactivé'.





Tester avec un outil tier :





Qualys SSL Test





Voici le ré'sulta que vous devez voir dans la liste des protocles supporté'.





src=https://www.duhaz.fr/datas/img/upload/2014/10/16/qualys-configuration.png



Désactiver le protocole SSLv3 sur Apache:



Pour dé'sactiver SSL v3 sur votre serveur Apache, vous pouvez configurer à' l''aide de la commande suivante

















SSLProtocol All -SSLv2 -SSLv3




Ce garde les protocoles pour TLSv1.0, TLSv1.1 et TLSv1.2, mais supprime le SSLv2 et SSL v3.





Vé'rifiez la configuration, puis redé'marrez Apache.



















apachectl configtest




sudo service apache2 restart




Désactiver le protocole SSLv3 sur NGINX :



Dé'sactiver le support SSL v3 sur Nginx est é'galement trè's facile,vous pouvez configurer à' l''aide de la commande suivante.

















ssl_protocols TLSv1 TLSv1.1 TLSv1.2'




Vous pouvez vé'rifier la configuration et redé'marrer.



















sudo nginx -t




sudo service nginx restart


Désactiver le protocole SSLv3 sur IIS:



Dans le cas de IIS, il faudra modifier une valeur dans la base de registre et redé'marer le serveur.





Ouvrez Regedit et allez dans le dossier suivant :

















HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols




Chercher les dossier nomé' "'SSL 2.0"' et "'SSL 3.0"', si ils n''existe pas cré'er les.





Dans chaqu''un des dossiers allez dans le sous dossier "'Server"', et cré'e une clé'e de type "'DWORD"' avec la valeur "'0"'.





Voici une impression d''é'cran qui pourra vous aidez.





src=https://www.duhaz.fr/datas/img/upload/2014/10/16/iis-settings.png



Nombre de Lectures : 509
Date de mise en ligne : 10 oct. 2014 à 15:00

Les Catégories

SSL

Une Pub