URL: https://linuxfr.org/news/cve-2014-3566-vulnerabilite-poodle
Title: CVE-2014-3566 — Vulnérabilité POODLE
Authors: gnutux95
Nÿco, bubar🦥, Davy Defaud, Xavier Teyssier, palm123 et Benoît Sibaud
Date: 2014-10-16T12:55:33+02:00
License: CC By-SA
Tags: poodle, sslv3, ssl, vulnérabilité, sécurité et mitm
Score: 32
Qu’est‐ce POODLE ?
==================
POODLE signifie _Padding Oracle On Downgraded Legacy_. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, _Man In the Middle_), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.
POODLE affecte les anciennes normes de chiffrement, notamment _Secure Socket Layer_ (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé _Transport Layer Security_ (TLS).
Recommandations
================
Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.
##Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :
* alerte CERT : ;
* alerte NVD : .
----
[OpenSSL décrit POODLE](https://www.openssl.org/~bodo/ssl-poodle.pdf)
[Préconisation Red Hat ](https://access.redhat.com/security/cve/CVE-2014-3566?sc_cid=70160000000eITIAA2&)
[Détection de la faille proposée par Red Hat](https://access.redhat.com/labs/poodle/?sc_cid=70160000000eITIAA2)
[Piqûre de rappel TLS](https://fr.wikipedia.org/wiki/Transport_Layer_Security)
[Explication claire en français](http://www.nextinpact.com/news/90427-la-faille-poodle-sslv3-permet-decrypter-donnees-sur-connexion.htm)
----
Histoire et aides diverses
============================
Google a identifié une faille dans le protocole SSL v3. Il existe des contournements côté serveurs comme côté clients : garder en tête la compatibilité avec les navigateurs clients. Red Hat n’a pour l’instant pas publié d’errata. Cela affecte RHEL5, RHEL6 et RHEL7, également les CentOS. À voir pour les autres distributions…
Remarque : _poodle_ signifie caniche en anglais.
**Page pour tester votre navigateur client**
https://www.poodletest.com/
**Tester par vous même**
```
openssl s_client -connect mon_site:443 -ssl3
```
**Configurer Apache**
```
SSLProtocol All -SSLv2 -SSLv3
```
**Configurer Postfix**
```
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
```
Tester la vulnérabilité de vos sites
====================================
Voici le script proposé par Red Hat :
```bash
#!/bin/bash
#
# Copyright (C) 2014 by Dan Varga
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; either version 3 of the License, or
# (at your option) any later version.
host=$1
port=$2
if [ "$2" == "" ]
then
port=443
fi
out="`echo x | timeout 5 openssl s_client -ssl3 -connect ${host}:${port} 2>/dev/null`"
ret=$?
if [ $ret -eq 0 ]
then
echo "VULNERABLE! SSLv3 detected."
exit
elif [ $ret -eq 1 ]
then
out=`echo $out | perl -pe 's|.*Cipher is (.*?) .*|$1|'`
if [ "$out" == "0000" ] || [ "$out" == "(NONE)" ]
then
echo "Not Vulnerable. We detected that this server does not support SSLv3"
exit
fi
elif [ $ret -eq 124 ]
then
echo "error: timeout connecting to host $host:$port"
exit
fi
echo "error: Unable to connect to host $host:$port"
```