57 Membres 1316 Contributions

Open Community

Blog - Mot clé : ssl

Faille POODLE - Bulletin de sécurité

Publiée par Julien P. - Stormshield dans technique

La faille de sécurité CVE-2014-3566, nommée "POODLE" impacte le protocole SSLv3.

Le statut sur les appliances Fast360 est le suivant :

  • Fast360: le produit supporte SSLv3 dans des versions inférieures à 5.1.
  • Arkoon Management Center: le produit supporte SSLv3 dans des versions inférieures à 5.1.

Veuillez consulter le bulletin de sécurité pour plus d'informations

 

CRIME : une attaque contre SSL

Publiée par Laurent C. - Arkoon dans technique


Le 21 septembre 2012 a eu lieu une conférence de sécurité qui présenta entre autre une faille de sécurité appelée CRIME visant les sites webs protégés par SSL/TLS.

Les auteurs de l'attaque, Juliana Rizzo et Thai Duong, réputés pour avoir travaillé l'année dernière sur l'attaque BEAST ont prévenu depuis longtemps les principaux sites et éditeurs de navigateurs webs afin de pouvoir colmater la faille. Le serveur le plus utilisé sur Internet, Apache, est impacté, ainsi que les navigateurs Firefox et Google Chrome.

Techniquement, comment cela fonctionne t'il ?

  • Les sessions protégées par SSL/TLS sont chiffrées, permettant ainsi à un attaquant de ne pas pouvoir lire le contenu des échanges. Il faut savoir que SSL permet de compresser l'intégralité des données, quelle qu'elles soient (cette compression est diférente de la compression pour le protocole HTTP).
  • Plusieurs sites demandent une authentification (Facebook, Gmail, votre banque...). Une fois
  • ...
Voir la suite
Messages d'alerte