ADVISORY : Vulnérabilité DROWN dans le SSLv2 (CVE-2016-0800)

Que s’est-il passé ?

Des nouvelles versions d’OpenSSL ont été publiées le 1er mars 2016 pour corriger deux vulnérabilités critiques et plusieurs vulnérabilités moins critiques.

Source : https://www.openssl.org/news/secadv/20160301.txt

Détails de la vulnérabilité DROWN (CVE-2016-0800)

CVE-2016-0800: vulnérabilité multi-protocole affectant le SSLv2 (DROWN).

L’exploit de cette faille passe par une attaque à texte-chiffré choisi et un oracle de Bleichenbacher. Cette faille permet à un pirate de récupérer des informations sur un serveur et de compromettre une communication utilisant le protocole TLS, plus récent et réputé comme sûr, via une attaque de type cross-protocol (multi-protocole).

Cette vulnérabilité est identifiée par l’acronyme CROWN, qui signifie « Decrypting RSA with Obsolotete and Weakened eNcryption ».

L’avis de DenyAll

Premièrement, les produits DenyAll désactivent le protocole SSLv2 par défaut et empêche le downgrading vers cette version. C’est une méthode recommandées par  le projet OpenSSL. D’une autre part, DenyAll recommande de ne pas activer le SSLv2 pour toutes les connexions de source inconnue, car les vulnérabilités touchent plusieurs anciennes versions d’OpenSSL et pas seulement les nouvelles.

Nous vous rappelons que le protocole SSLv2 est obsolète depuis plusieurs années, et est utilisé uniquement pour des communications avec des personnes entre personnes de confiance (le backend par exemple).

Nous vous recommendons également de ne pas partager les certificats configurés pour un produit DenyAll (sans le SSLv2 activé) avec un autre serveur (DenyAll ou non) avec le SSLv2 activé et connecté à des sources inconnues. Cela peut compromettre le serveur sécurisé.

Pour plus d’informations sur la vulnérabilité DROWN et le SSLv2, il existe un document de recherche.  il For more information on the DROWN vulnerability, see the research paper: https://drownattack.com/drown-attack-paper.pdf

Les détails des vulnérabilités fixées par le OpenSSL 1.0.1s sont décrits dans le centre de documentation de DenyAll.

Produits concernés et recommandations

Notre principale recommendation pour être protégé contre la vulnérabilité DROWN est de ne pas activer le SSLv2 qui est activé par défaut.

Si vous avez absolument besoin de communiquer avec une personne de confiance, vous pouvez l’activer via le backend du produit DenyAll utilisé. Cela n’affectera pas les configurations clients.

Les autres vulnérabilités découvertes n’ont pas d’impacts sur les produits DenyAll. OpenSSL sera mis à jour avec la dernière version dans les prochaines versions de nos produits.

Pour plus d’informations sur les configurations SSL, je vous invite à lire la documentation SSL Cipher et les meilleures pratiques pour configurer DenyAll Web Application Firewall.

Vincent Maury, Chief Technology Officer on LinkedinVincent Maury, Chief Technology Officer on Twitter
Vincent Maury, Chief Technology Officer
Vincent est notre directeur technique bien aimé. C’est un entrepreneur né et un passionné de la sécurité. Les produits et services qu’il développe ont tous 1# commun : faire en sorte que les utilisateurs puissent protéger leur actifs informatiques de la manière la plus simple possible.
Paste your AdWords Remarketing code here

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close