Pour en finir avec Poodle

Poodle

Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition.

Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS.

Pour cela, je vous livre différentes configuration et un script de test utilisant NMap.

 

Apache

SSLProtocol All -SSLv2 -SSLv3

Tomcat v7

Dans $TOMCAT_HOME/conf/server.xml

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />

NGinx

ssl_protocols -SSLv2 -SSLv3 TLSv1;

ProFTPd

TLSProtocol TLSv1

Postfix

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

OpenLDAP

TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3

 

Test

Pour tester en masse, vous pouvez utiliser ce script NMap qui devrait renvoyer :

SSLv3: No supported ciphers found

nmap --script ssl-enum-ciphers -p 443 X.Y.Z.0/24

 

Bon courage !

Sur le même sujet :