Pour en finir avec Poodle

Poodle

Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition.

Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS.

Pour cela, je vous livre différentes configuration et un script de test utilisant NMap.

 

Apache

SSLProtocol All -SSLv2 -SSLv3

Tomcat v7

Dans $TOMCAT_HOME/conf/server.xml

NGinx

ssl_protocols -SSLv2 -SSLv3 TLSv1;

ProFTPd

TLSProtocol TLSv1

Postfix

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

OpenLDAP

TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3

 

Test

Pour tester en masse, vous pouvez utiliser ce script NMap qui devrait renvoyer :

SSLv3: No supported ciphers found

nmap --script ssl-enum-ciphers -p 443 X.Y.Z.0/24

 

Bon courage !

Sur le même sujet :