-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il est important de noter que c'est une faille dans le protocole et non dans une implémentation du protocole. Les détails sont dévoilés ici : http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting-ssl-30.html Pour résumer ce qui y est dit, il faut désactiver SSLv3 dans le meilleur des cas, ou au moins, empêcher les clients de passer de TLS à SSLv3 en cas d'erreur réseau (ce qui est une technique pour exploiter la faille). Par ailleurs, on parle beaucoup de HTTP comme protocole vulnérable (ce qui est un fait), mais la faille s'appuie notamment sur des bouts de texte connus pour avoir le reste (donc, récupérer les cookies par exemple sur HTTP). Cela veut dire que ça marche sur d'autres protocoles verbeux, type IRC (pour récupérer le mot de passe). Un client n'est vulnérable que si on est capable de sniffer ses paquets, donc wifi, MITM, etc. Debian (par exemple), va désactiver le support de SSLv3 sur Iceweasel. Bonne journée, - -- Pierre Schweitzer <[email protected]> System & Network Administrator Senior Kernel Developer ReactOS Deutschland e.V. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iQIcBAEBAgAGBQJUPiRkAAoJEHVFVWw9WFsLa9sP/3iKJn4rAFW77fV4nNZO2BiY cfo4AxmkwQJdLMrgjHiEhwDXFIWvnAupuiQTXUcfos63RczNAE7NmVWgFRFYy30b usAc0UEdlgtD0Tlm8Y2+MVe8XZ7dJ4vCJmvV2M71i7pcDBafFFQr+QbpYBQGTBR0 +3nWY41aGpigGTsHeN9Hm5owv1WxATC45qBu3Bdyz8fK7G/sp1PyBXQO8qezomjA rigt9jsAU5sdHDFnCcT76F3q830ECtv7ntRkX++ITfC5YhRxiE/P2qjcFXm78/DU GQT5yregna8TRHfrLVexDX1M7TJ+WdufHADiJ7+0r/AwiPJ3NFLLArY05lRLYBI6 xmh5DFvzaPx3xy6sxFGgEc62cz7QqHsZ/yvtUYpSC1cALmFFF0RzwCzPs3VhMfGD jJsNLqxgzBEUGTimsF1VLeR3uSKQKXggCdW/d89f0nrudwUHyGcFlyRAPKVXOdtW jcopGvLmjP9bnEH/fer/CORxyorT0eFmj7LNGq/cxi4Mif9qrtYSvLmZLxKjAjBj eFCAtgJCm08xdJ4SsfudYTG1CsZkzfd36aFUgmHY5Z8N4A4uWyhz0Rf6aMtMe8Uo ZQSFw8laxTkQ8AaKCo5OaZSXZjm4YlSFh/eTMIVy+xFcVMrqp9Vn4KriV56XnnaI Xu1hCDzr/p35E09Y4+u3 =tL8/ -----END PGP SIGNATURE----- --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
