Blog GlobalSign

10 déc. 2014

La faille POODLE s'étend de SSL 3.0 à TLS 1.0 et 1.1

Alors que nous signalions la découverte de la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) en octobre dernier, on croyait que celle-ci n'affectait que le protocole SSL 3.0, permettant à des pirates d'intercepter des informations cruciales dans les communications établies entre le navigateur d'un utilisateur et un site sécurisé par un certificat SSL. Cependant, il a été découvert que certaines implémentations TLS 1.0 et TLS 1.1 seraient aussi concernées.

Cette faille touche des implémentations du protocole TLS qui ne vérifient pas correctement la structure de chiffrement utilisé dans les paquets TLS. Pour le moment, des vulnérabilités ont été découvertes sur des sites qui utilisaient des répartiteurs de charge de F5 Networks et A10 networks pour gérer les connections TLS. Lisez le blog d'Adam Langley, ingénieur en sécurité chez Google, pour une analyse plus technique du problème en question.

Que dois-je faire ?

1. Vérifiez si votre serveur est vulnérable grâce au contrôleur de serveur SSL de Qualys SSL Labs.

2. Appliquez le correctif mis à disposition par votre fournisseur. Vous pouvez accéder à celui de F5 ici, ainsi que celui d'A10. Nous complèterons cette liste au fur et à mesure que de nouveaux fournisseurs affectés seront signalés.

Veuillez noter que cette faille n'affecte pas les certificats SSL directement, il n'y a donc aucun lieu de réémettre, renouveler ou réinstaller vos certificats à l'heure actuelle.

Cet article sera mis à jour dès que nous recevons de nouvelles informations à ce propos.

Partager ce blog