2

Comment protéger ses serveurs de la faille CVE-2014-3566 (POODLE)

Le système de chiffrement SSLv3 (1996) est actuellement obsolète et préféré au système TLS (Transport Security Layer). Cependant, le serveur peut toujours traiter le chiffrement du système SSLv3 si le client ne peut faire mieux. C’est là, que la faille Poodle entre en jeu.

Pour rester le plus simple possible, le pirate va se placer entre le serveur et le client via l’attaque de type « Man In The Middle » et faire croire au serveur que le client ne sait traiter qu’au mieux le protocole SSLv3, ainsi le pirate va pouvoir intercepter et déchiffrer les informations entre le client et le serveur. C’est la faille CVE-2014-3566 alias Poodle (Padding Oracle On Downgraded Legacy Encryption).

Configuration du serveur avec le protocole TLS

Afin de protéger le serveur de la faille Poodle, les fichiers de configuration vont être modifiés pour n’utiliser que le protocole TLS.

nb: toutes les commandes sont éxécutées en tant que root.
nb2 : Ici, les modifications ont été apportées sur un serveur Debian.

Serveur Web

  • Nginx :
  • Edition du fichier de configuration de Nginx :

    nano /etc/nginx/site/available/siteweb.conf
    

    Ajouter/Remplacer SSLv3 par TLS :

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    

    Relancer le serveur Nginx pour la prise en compte :

    service nginx restart
    
  • Apache2 :
  • Edition du fichier de configuration ssl.conf.

    nano /etc/apache2/mods-enabled/ssl.conf
    

    Ajouter -SSLv3 à la fin de l’option SSLProtocol comme ceci :

    SSLProtocol all -SSLv2 -SSLv3
    

    Relancer le serveur Apache2 pour la prise en compte :

    service restart apache2
    

Serveur de Messagerie

  • Postfix :
  • Editer le fichier de configuration de postfix :

    nano /etc/postfix/main.cf
    

    Modifier/Ajouter :

    smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
    

    Relancer le service Postfix pour la prise en compte :

    postfix stop
    postfix start
    
  • Dovecot :
  • Editer le fichier de configuration de Dovecot :

    nano /etc/dovecot/conf.d/10-ssl.conf
    

    Modifier/Ajouter :

    ssl_protocols = !SSLv2 !SSLv3
    

    Relancer Dovecot :

    dovecot restart
    

Partager l'article :





fred

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à cacher, c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous prétexte qu'on a rien à dire." Edward Snowden

2 commentaires

  1. Merci pour cet article !
    Deux-trois petites fautes/coquilles que j’ai pu relever cependant :
    – « n’utiliser que le protocoel TLS » => « protocole »
    – Pour nginx, la commande devrait être « nano /etc/nginx/site/available/siteweb.conf » (sans le ‘o’)

    De plus, j’invite les administrateurs quel que soit leur niveau à tester avec SSLLabs (https://www.ssllabs.com/ssltest/) leur configuration.

  2. Merci MegaHertz !
    coquilles corigées, c’est le problème de la relecture à chaud ….

    Merci aussi pour le lien, j’ai encore un peu de taf sur mon blog concernant la sécurité….

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *