Cette semaine une faille de sécurité a été découverte dans la conception de SSL v3. Cette dernière permettrait à une personne malintentionnée de décrypter les connexions chiffrées avec cette méthode. Pour plus d'informations, consultez la note CVE suivante CVE-2014-3566 ou le rapport d'OpenSSL.
Depuis quand existe-t-elle ?
SSL v3 est une technologie agée de 18 ans et la faille est tellement profonde que ses concepteurs ne la corrigerons pas. SSL v3 est maintenant une solution obsolète et non sécurisée.
Comment vérifier si je suis impacté ?
Pour vérifier si vous êtes impactés, vous pouvez consulter l'article suivant : https://support.ikoula.com/index-1-2-2966.html
Comment la corriger ?
Pour corriger cette faille, nous vous recommandons de désactiver le support SSL v3 dans vos applications. Ce dernier est déjà fortement remplacé par l'utilisation du TLS. L'impact de sa désactivation peut être très faible. Tout dépend de vos configurations
Nous vous invitons à consulter les quelques KB suivantes pour obtenir plus d'informations quant au patch à appliquer pour corriger le problème :
- Apache SSL - passez à apache2 ou un autre service web
- Apache2 https://support.ikoula.com/index-1-2-2965.html
- Plesk linux https://support.ikoula.com/index-1-2-2965.html
- IIS https://support.ikoula.com/index-1-2-2969.html
- Si votre OS est toujours maintenu, appliquez les dernières mises à jour. La plupart des mainteneurs ont appliqué un patch désactivant le SSL v3, notamment pour les paquets openssl et gnutls.
Si vous disposez d'une prestation mutualisée ou en infogérance complète sachez que nos équipes ont déjà fait le nécessaire.