Faille DROWN

Une nouvelle faille vient d’être découverte dans l’univers SSL sous Linux. Cette faille, baptisée DROWN pour Decrypting RSA with Obsolete and Weakened eNcryption concerne SSLv2.

 

Un attaquant qui écouterait la connexion d’un client TLS vers un serveur pourrait se servir des données reçues pour attaquer SSLv2 sur le serveur, si celui-ci l’expose, bien entendu. Une attaque réussie permet alors de décrypter les données échangées sur la connexion.

 

Si vous ne disposez pas de patches ? Il faut reconfigurer les services sensibles, afin qu’ils n’exposent plus SSLv2, comme ceci:

Postfix fichier main.cf
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Dovecot fichier local.conf
ssl_protocols = !SSLv2 !SSLv3

Courier-imap imapd-ssl
IMAPDSSLSTART=NO
IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

 

Explications de la faille: https://drownattack.com/

tester  si vos serveur sont vulnérables: https://test.drownattack.com/

Leave a Reply

Your email address will not be published. Required fields are marked *