[Securité] Faille SSL V3 #POODLE

Après Heartbleed et Shellshock, voici une faille de sécurité dans le protocole SSL V3 obsolète depuis au moins 10 ans.

Solution de résolution : désactiver son utilisation dans les clients et les serveurs.

clients : http://www.ghacks.net/2014/10/15/ssl-3-0-vulnerability-discovered-find-out-how-to-protect-yourself/

Serveurs :

• la page de Stéphane Bortzmeyer : http://seenthis.net/messages/302666

• la page askubuntu : http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566 

Pour info, pour Apache2 sur Debian, j'ai du utiliser : SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3 -SSLv2

Et pour dovecot ... la correction ne fonctionne pas.

Quelqu'un à une idée ?  

 Mise à jour le 7 Novembre 2014 pour Ubuntu

Ubuntu a mis à jour le package dovecot ( dovecot 2.0.19-0ubuntu2.2 )  pour permettre de désactiver le protocole SSLv3.

La solution donnée par Stéphane Bortzmeyer fonctionne avec cette mise à jour : 

ajouter au fichier dovecot.conf 

# POODLE
ssl_protocols = !SSLv2 !SSLv3

#shellshock .... ressources

Test vulnerability ( various test case ) : https://shellshocker.net/

Bash Binary in memory still vulnerable : http://stevejenkins.com/blog/2014/09/shellshock-warning-even-after-patching-your-old-vulnerable-bash-binary-could-be-resurrected-from-memory/

Collection of exploits : https://isc.sans.edu/forums/diary/Shellshock+A+Collection+of+Exploits+seen+in+the+wild/18725

Is my website compromised : http://security.stackexchange.com/questions/68296/what-does-this-attempted-shellshock-exploit-do-and-has-my-website-been-compromi