LE CANICHE EST INSOMNIAQUE [1]
Si vous suivez l’actualité vous avez constaté les différentes annonces sur le caniche voulant manger du TLS.
Que l’on se rassure c’est «presque » normal et ce n’est pas TLS qui est remis en cause.
Par contre ceux qui ont construit des implémentations de TLS basées sur des fonctions de chiffrement provenant de SSLv3 doivent sentir la morsure.
Pour résumer :
- Suite à la vulnérabilité POODLE, les échanges sur la liste TLS montre que les implémentations de TLS 1.0 peuvent utiliser des fonctions de déchiffrement liées à SSLv3 (Comme par exemple les anciennes versions NSS)
- Adam Langley écrit un scanner pour vérifier si d’autres systèmes ont basé leurs méthodes de déchiffrement sur une fonction SSLv3 et découvre que plusieurs sites sont vulnérables malgré leurs versions de TLS 1.X
Adam Langley ainsi que Yngve Pettersen expliquent très bien le point sur leurs blogs :
https://www.imperialviolet.org/2014/12/08/poodleagain.html
https://vivaldi.net/blogs/entry/not-out-of-the-woods-yet-there-are-more-poodles
Alors aujourd’hui que faire ? Mettre à jour !
En effet le problème sur certains équipementiers comme F5 et A10 ont été remonté le 21 Octobre ce qui a laissé le temps de créer un patch.
Liste des patches à appliquer :
F5 : https://devcentral.f5.com/articles/cve-2014-8730-padding-issue-8151
A10 : http://www.a10networks.com/support/advisories/A10-RapidResponse_CVE-2014-8730.pdf
Encore une fois il ne suffit pas de trouver une vulnérabilité, de la rendre publique et de la corriger pour être certain que celle-ci ait disparu. Ici c’est 10% des sites web sur internet qui font les frais d’une implémentation incorrecte d’un protocole.