Quelques jours après shellshock, et quelques semaines après heartbleed, c’est Poodle qui fait son apparition.

Pour éviter cette faille, il faut interdire à tous les serveurs utilisant SSL (et pas seulement HTTPS) les versions 2 et 3 de SSL et n’accepter que TLS.

Pour cela, je vous livre différentes configuration et un script de test utilisant NMap.

Apache

SSLProtocol All -SSLv2 -SSLv3

Tomcat v7

Dans $TOMCAT_HOME/conf/server.xml

NGinx

ssl_protocols -SSLv2 -SSLv3 TLSv1;

ProFTPd

TLSProtocol TLSv1

Postfix

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

OpenLDAP

TLSCipherSuite HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3

Test

Pour tester en masse, vous pouvez utiliser ce script NMap qui devrait renvoyer :

SSLv3: No supported ciphers found

nmap --script ssl-enum-ciphers -p 443 X.Y.Z.0/24

Bon courage !

Sur le même sujet :

• ROCA : l’autre grosse faille qui passerait presque inappercue
• Une architecture Docker en production
• Guacamole, un proxy Web d’accès distants