Une vulnérabilité a été découverte dans la version 3 du protocole SSL permettant de sécuriser les connexions entre clients et serveurs. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, par exemple de récupérer un cookie de session HTTPS.
Contournement provisoireIl est possible de configurer les navigateurs afin de les empêcher d'utiliser cette version du protocole :
-
pour Internet Explorer, aller dans les "
options internet" puis dans l'onglet "
Avancé", dans la liste déroulante, décocher la case "
SSL 3.0" ;
-
pour Firefox (fonctionne aussi
pour Thunderbird), dans la barre d'adresse, taper "
about:config" puis rechercher "
security.tls.version.min" et changer sa valeur à
1 ;
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/CERTFR-2014-ALE-007.html
Cette contribution était de : http://www.gratilog.net/xoops/newbb/viewtopic.php?forum=3&topic_id=11206&post_id=158901