Nouvelle vulnérabilité dans le monde des SSL
La semaine dernière, des rumeurs circulaient sur une nouvelle vulnérabilité dans SSL v3.
Aucun détail n'a été largement disponibles jusqu'à aujourd'hui et nous avons maintenant POODLE ou le A«Padding Oracle On Downgraded Legacy Encryption.
L'attaque, permet d'obtenir le texte en clair de certaines parties d'une connexion SSL, tels que le cookie.
Similaire à BEAST, mais plus pratique pour mener à bien, POODLE pourrait bien signifier la fin du support du protocole SSL v3.
Je vais vous donner dans cet article, vous fournir les outils pour tester si vous êtes vulnérable et comment le corriger.
Tester si votre serveur est vulnérable :
Vos serveurs sont vulné'rables tout simplement si elles soutiennent SSLv3
Voici des solutions pour tester si le protocole est actif.
Tester avec OpenSSL :
#openssl s_client -connect <'serveur>':<'port>' -ssl3 |
Il faut biensur remplacer <'serveur>' et <'port>' par les informations de votre serveur.
Ex:openssl s_client -connect www.duhaz.fr:443 -ssl3
Si la connexion ré'ussit , SSLv3 est activé'e . Si elle é'choue, elle est dé'sactivé'e . Quand il é'choue, vous devriez voir quelque chose comme : error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Tester avec Nmap :
nmap --script ssl-enum-ciphers -p<'port>'<'serveur>' |
Il faut biensur comme pour Openssl remplacer <'serveur>' et <'port>' par les informations de votre serveur.
Ex:nmap --script ssl-enum-ciphers -p443 www.duhaz.fr
Si vous avez la ré'ponce "'SSLv3: No supported ciphers found"' le protocol est bien dé'sactivé'.
Tester avec un outil tier :
Voici le ré'sulta que vous devez voir dans la liste des protocles supporté'.
Désactiver le protocole SSLv3 sur Apache:
Pour dé'sactiver SSL v3 sur votre serveur Apache, vous pouvez configurer à' l''aide de la commande suivante
SSLProtocol All -SSLv2 -SSLv3 |
Ce garde les protocoles pour TLSv1.0, TLSv1.1 et TLSv1.2, mais supprime le SSLv2 et SSL v3.
Vé'rifiez la configuration, puis redé'marrez Apache.
apachectl configtest sudo service apache2 restart |
Désactiver le protocole SSLv3 sur NGINX :
Dé'sactiver le support SSL v3 sur Nginx est é'galement trè's facile,vous pouvez configurer à' l''aide de la commande suivante.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2' |
Vous pouvez vé'rifier la configuration et redé'marrer.
sudo nginx -t sudo service nginx restart |
Désactiver le protocole SSLv3 sur IIS:
Dans le cas de IIS, il faudra modifier une valeur dans la base de registre et redé'marer le serveur.
Ouvrez Regedit et allez dans le dossier suivant :
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols |
Chercher les dossier nomé' "'SSL 2.0"' et "'SSL 3.0"', si ils n''existe pas cré'er les.
Dans chaqu''un des dossiers allez dans le sous dossier "'Server"', et cré'e une clé'e de type "'DWORD"' avec la valeur "'0"'.
Voici une impression d''é'cran qui pourra vous aidez.