CERTFR-2014-ALE-007
Vulnerability from certfr_alerte

Une vulnérabilité a été découverte dans la version 3 du protocole SSL permettant de sécuriser les connexions entre clients et serveurs. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, par exemple de récupérer un cookie de session HTTPS.

Solution

L'exploitation de la vulnérabilité est basée sur la négociation protocolaire entre le client et le serveur. Le client force le serveur à utiliser SSLv3 qui est une ancienne version du protocole SSL/TLS. L'attaquant sera en mesure de déchiffrer une partie du trafic réseau vers des sites sécurisés et de récupérer des cookies de session HTTPS.

Le CERTFR recommande la désactivation du support du protocole SSLv3 au sein de tout logiciel l'implémentant.

Il est possible de configurer les navigateurs afin de les empêcher d'utiliser cette version du protocole :

  • pour Internet Explorer, aller dans les "options internet" puis dans l'onglet "Avancé", dans la liste déroulante, décocher la case "SSL 3.0" ;
  • pour Firefox (fonctionne aussi pour Thunderbird), dans la barre d'adresse, taper "about:config" puis rechercher "security.tls.version.min" et changer sa valeur à 1 ;

Pour les applications basées sur l'API Cryptographique de Windows (CAPI), il est possible de modifier la clé de registre suivante :

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
Protocols\SSL 3.0\Client] "Enabled"=dword:00000000
None
Impacted products
Vendor Product Description
N/A N/A Navigateurs Web employant SSLv3, dont Internet Explorer, Firefox et Chrome.
N/A N/A Toutes les implémentations du protocole SSLv3 ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Navigateurs Web employant SSLv3, dont Internet Explorer, Firefox et Chrome.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Toutes les impl\u00e9mentations du protocole SSLv3 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2014-10-15",
  "content": "## Solution\n\nL\u0027exploitation de la vuln\u00e9rabilit\u00e9 est bas\u00e9e sur la n\u00e9gociation\nprotocolaire entre le client et le serveur. Le client force le serveur \u00e0\nutiliser SSLv3 qui est une ancienne version du protocole SSL/TLS.\nL\u0027attaquant sera en mesure de d\u00e9chiffrer une partie du trafic r\u00e9seau\nvers des sites s\u00e9curis\u00e9s et de r\u00e9cup\u00e9rer des cookies de session HTTPS.  \n\nLe CERTFR recommande la d\u00e9sactivation du support du protocole SSLv3 au\nsein de tout logiciel l\u0027impl\u00e9mentant.  \n\nIl est possible de configurer les navigateurs afin de les emp\u00eacher\nd\u0027utiliser cette version du protocole :\n\n-   pour Internet Explorer, aller dans les \"options internet\" puis dans\n    l\u0027onglet \"Avanc\u00e9\", dans la liste d\u00e9roulante, d\u00e9cocher la case \"SSL\n    3.0\" ;\n-   pour Firefox (fonctionne aussi pour Thunderbird), dans la barre\n    d\u0027adresse, taper \"about:config\" puis rechercher\n    \"security.tls.version.min\" et changer sa valeur \u00e0 1 ;\n\nPour les applications bas\u00e9es sur l\u0027API Cryptographique de Windows\n(CAPI), il est possible de modifier la cl\u00e9 de registre suivante :\n\n     [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\\n    Protocols\\SSL 3.0\\Client] \"Enabled\"=dword:00000000\n",
  "cves": [
    {
      "name": "CVE-2014-3566",
      "url": "https://www.cve.org/CVERecord?id=CVE-2014-3566"
    }
  ],
  "initial_release_date": "2014-10-15T00:00:00",
  "last_revision_date": "2014-10-15T00:00:00",
  "links": [],
  "reference": "CERTFR-2014-ALE-007",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2014-10-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans la version 3 du protocole \u003cspan\nclass=\"textit\"\u003eSSL\u003c/span\u003e permettant de s\u00e9curiser les connexions entre\nclients et serveurs. Elle permet \u00e0 un attaquant de provoquer une\natteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es, par exemple de r\u00e9cup\u00e9rer un\ncookie de session HTTPS.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans SSLv3",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 du 14 octobre 2014",
      "url": "https://www.openssl.org/~bodo/ssl-poodle.pdf"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.