-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Bonjour à tous,
Cette nuit, une faille dans le protocole SSLv3 a été révélée. Il est
important de noter que c'est une faille dans le protocole et non dans
une implémentation du protocole.
Les détails sont dévoilés ici :
http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting-ssl-30.html
Pour résumer ce qui y est dit, il faut désactiver SSLv3 dans le
meilleur des cas, ou au moins, empêcher les clients de passer de TLS à
SSLv3 en cas d'erreur réseau (ce qui est une technique pour exploiter
la faille).
Par ailleurs, on parle beaucoup de HTTP comme protocole vulnérable (ce
qui est un fait), mais la faille s'appuie notamment sur des bouts de
texte connus pour avoir le reste (donc, récupérer les cookies par
exemple sur HTTP). Cela veut dire que ça marche sur d'autres
protocoles verbeux, type IRC (pour récupérer le mot de passe).
Un client n'est vulnérable que si on est capable de sniffer ses
paquets, donc wifi, MITM, etc.
Debian (par exemple), va désactiver le support de SSLv3 sur Iceweasel.
Bonne journée,
- --
Pierre Schweitzer
System & Network Administrator
Senior Kernel Developer
ReactOS Deutschland e.V.
-BEGIN PGP SIGNATURE-
Version: GnuPG v1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=tL8/
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/
