[Securité] Faille SSL V3 #POODLE

Après Heartbleed et Shellshock, voici une faille de sécurité dans le protocole SSL V3 obsolète depuis au moins 10 ans.

Solution de résolution : désactiver son utilisation dans les clients et les serveurs.

clients : http://www.ghacks.net/2014/10/15/ssl-3-0-vulnerability-discovered-find-out-how-to-protect-yourself/

Serveurs :

• la page de Stéphane Bortzmeyer : http://seenthis.net/messages/302666

• la page askubuntu : http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566 

Pour info, pour Apache2 sur Debian, j'ai du utiliser : SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv3 -SSLv2

Et pour dovecot ... la correction ne fonctionne pas.

Quelqu'un à une idée ?  

 Mise à jour le 7 Novembre 2014 pour Ubuntu

Ubuntu a mis à jour le package dovecot ( dovecot 2.0.19-0ubuntu2.2 )  pour permettre de désactiver le protocole SSLv3.

La solution donnée par Stéphane Bortzmeyer fonctionne avec cette mise à jour : 

ajouter au fichier dovecot.conf 

# POODLE
ssl_protocols = !SSLv2 !SSLv3