POODLE Le retour !

POODLE Le retour !

Le caniche est insomniaque [1]

 

Si vous suivez l’actualité vous avez constaté les différentes annonces sur le caniche voulant manger du TLS.

Que l’on se rassure c’est «presque » normal et ce n’est pas TLS qui est remis en cause.

Par contre ceux qui ont construit des implémentations de TLS basées sur des fonctions de chiffrement provenant de SSLv3 doivent sentir la morsure.

Pour résumer :

 

  • Adam Langley écrit un scanner pour vérifier si d’autres systèmes ont basé leurs méthodes de déchiffrement sur une fonction SSLv3 et découvre que plusieurs sites sont vulnérables malgré leurs versions de TLS 1.X

Adam Langley ainsi que Yngve Pettersen expliquent très bien le point sur leurs blogs :

https://www.imperialviolet.org/2014/12/08/poodleagain.html

https://vivaldi.net/blogs/entry/not-out-of-the-woods-yet-there-are-more-poodles

 

Alors aujourd’hui que faire ? Mettre à jour !

En effet le problème sur certains équipementiers comme F5 et A10 ont été remonté le 21 Octobre ce qui a laissé le temps de créer un patch.

Liste des patches à appliquer :

F5 : https://devcentral.f5.com/articles/cve-2014-8730-padding-issue-8151

A10 : http://www.a10networks.com/support/advisories/A10-RapidResponse_CVE-2014-8730.pdf

 

Encore une fois il ne suffit pas de trouver une vulnérabilité, de la rendre publique et de la corriger pour être certain que celle-ci ait disparu. Ici c’est 10% des sites web sur internet qui font les frais d’une implémentation incorrecte d’un protocole.

 

Article rédigé par N.C.

[1] phrase culte extrait du film « Archimède, le clochard »