{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Navigateurs Web employant SSLv3, dont Internet Explorer, Firefox et Chrome.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Toutes les impl\u00e9mentations du protocole SSLv3 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"closed_at":"2014-10-15","content":"## Solution\n\nL'exploitation de la vuln\u00e9rabilit\u00e9 est bas\u00e9e sur la n\u00e9gociation\nprotocolaire entre le client et le serveur. Le client force le serveur \u00e0\nutiliser SSLv3 qui est une ancienne version du protocole SSL/TLS.\nL'attaquant sera en mesure de d\u00e9chiffrer une partie du trafic r\u00e9seau\nvers des sites s\u00e9curis\u00e9s et de r\u00e9cup\u00e9rer des cookies de session HTTPS.  \n\nLe CERTFR recommande la d\u00e9sactivation du support du protocole SSLv3 au\nsein de tout logiciel l'impl\u00e9mentant.  \n\nIl est possible de configurer les navigateurs afin de les emp\u00eacher\nd'utiliser cette version du protocole :\n\n-   pour Internet Explorer, aller dans les \"options internet\" puis dans\n    l'onglet \"Avanc\u00e9\", dans la liste d\u00e9roulante, d\u00e9cocher la case \"SSL\n    3.0\" ;\n-   pour Firefox (fonctionne aussi pour Thunderbird), dans la barre\n    d'adresse, taper \"about:config\" puis rechercher\n    \"security.tls.version.min\" et changer sa valeur \u00e0 1 ;\n\nPour les applications bas\u00e9es sur l'API Cryptographique de Windows\n(CAPI), il est possible de modifier la cl\u00e9 de registre suivante :\n\n     [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\\n    Protocols\\SSL 3.0\\Client] \"Enabled\"=dword:00000000\n","cves":[{"name":"CVE-2014-3566","url":"https://www.cve.org/CVERecord?id=CVE-2014-3566"}],"links":[],"reference":"CERTFR-2014-ALE-007","revisions":[{"description":"version initiale.","revision_date":"2014-10-15T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans la version 3 du protocole <span\nclass=\"textit\">SSL</span> permettant de s\u00e9curiser les connexions entre\nclients et serveurs. Elle permet \u00e0 un attaquant de provoquer une\natteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es, par exemple de r\u00e9cup\u00e9rer un\ncookie de session HTTPS.\n","title":"Vuln\u00e9rabilit\u00e9 dans SSLv3","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 du 14 octobre 2014","url":"https://www.openssl.org/~bodo/ssl-poodle.pdf"}]}