jeudi 16 octobre 2014

[Securité] Faille SSL V3 #POODLE


Après Heartbleed et Shellshock, voici une faille de sécurité dans le protocole SSL V3 obsolète depuis au moins 10 ans.

Solution de résolution : désactiver son utilisation dans les clients et les serveurs.

clients : http://www.ghacks.net/2014/10/15/ssl-3-0-vulnerability-discovered-find-out-how-to-protect-yourself/

Serveurs :
Pour info, pour Apache2 sur Debian, j'ai du utiliser : SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3 -SSLv2

Et pour dovecot ... la correction ne fonctionne pas.

Quelqu'un à une idée ?  

 Mise à jour le 7 Novembre 2014 pour Ubuntu

Ubuntu a mis à jour le package dovecot ( dovecot 2.0.19-0ubuntu2.2 )  pour permettre de désactiver le protocole SSLv3.
La solution donnée par Stéphane Bortzmeyer fonctionne avec cette mise à jour : 

ajouter au fichier dovecot.conf 
# POODLE
ssl_protocols = !SSLv2 !SSLv3

Aucun commentaire:

Enregistrer un commentaire