Re: BULLETIN D'ALERTE DU CERT-FR DU 14 octobre 2014: Vulnérabilité dans SSLv3
Publié par ribotb le 25/10/2014 17:57:51
Citation :
Quel étair sa valeur sous FF33.0 ? Peut-être l'avais-tu laissée à 0 ?
Moi je l'avais passée à 1 et retrouvée à 1 sous FF33.0.1. J'en suis sûr parce que je viens à l'instant d'être obligé de la passer à 0 temporairement parce que je viens de tomber sur un site (Finaref pour ne pas le nommer) auquel je ne pouvais plus accéder (je me suis dit qu'il ne devait accepter que les connexions SSL v3.0 !) et ça a marché.
Je viens de la remettre à 1 et je ne peux plus me connecter.
Ça va que cette histoire de vulnérabilité est récente sinon je me serais demandé pendant quelques pourquoi je ne pouvais plus me connecter chez Finaref !
Je me demande ce qui va se passer dans la période qui vient : est-ce que le site qui utilisent SSL v3 vont revenir à une version précédente, ou bien l'utilisateur va-t-il devoir jongler dans about:config ou les options internet ?
Bernard
laozi a écrit:
Citation :
ribotb a écrit:
Contournement provisoire
Il est possible de configurer les navigateurs afin de les empêcher d'utiliser cette version du protocole :
- pour Firefox (fonctionne aussi pour Thunderbird), dans la barre d'adresse, taper "about:config" puis rechercher "security.tls.version.min" et changer sa valeur à 1
hello,
avec la mise à jour de FF 33.0.1, cette valeur s'est réinitialisée à 0 !!!
donc nouvelle modification en attendant la v34,
à suivre...
Quel étair sa valeur sous FF33.0 ? Peut-être l'avais-tu laissée à 0 ?
Moi je l'avais passée à 1 et retrouvée à 1 sous FF33.0.1. J'en suis sûr parce que je viens à l'instant d'être obligé de la passer à 0 temporairement parce que je viens de tomber sur un site (Finaref pour ne pas le nommer) auquel je ne pouvais plus accéder (je me suis dit qu'il ne devait accepter que les connexions SSL v3.0 !) et ça a marché.
Je viens de la remettre à 1 et je ne peux plus me connecter.
Ça va que cette histoire de vulnérabilité est récente sinon je me serais demandé pendant quelques pourquoi je ne pouvais plus me connecter chez Finaref !
Je me demande ce qui va se passer dans la période qui vient : est-ce que le site qui utilisent SSL v3 vont revenir à une version précédente, ou bien l'utilisateur va-t-il devoir jongler dans about:config ou les options internet ?
Bernard
Cette contribution était de : http://www.gratilog.net/xoops/newbb/viewtopic.php?forum=3&topic_id=11206&post_id=159187