POODLE (TLS)

Padding Oracle On Downgraded Legacy Encryption

Erreur connexe

"This server supports older SSL/TLS protocols. It is vulnerable to a Poodle (TLS) attack. Disable older protocols" (Ce serveur prend en charge les protocoles SSL/TLS plus anciens. Or, il est vulnérable aux attaques Poodle (qui affectent les protocoles TLS). Veuillez désactiver les anciens protocoles).

Problème

De nouvelles versions de la vulnérabilité POODLE (qui affecte le protocole SSL) ont été découvertes, telles que Zombie POODLE, GOLDENDOODLE, 0-Length OpenSSL et Sleeping POODLE. Ces nouvelles vulnérabilités POODLE ont été découvertes sur des sites qui utilisaient les protocoles TLS 1.0, TLS 1.1 et TLS 1.2 et où les modes d’enchaînement de blocs (Cipher Block Chaining, CBC) étaient activés.

Solution

À court terme : Désactivez la prise en charge des chiffrements CBC.

À long terme : Activez le protocole TLS 1.3.

Solution de contournement

Configurez TLS de façon à ne plus utiliser les chiffrements CBC en priorité. L’attaquant ne peut pas forcer l’utilisation du chiffrement CBC. Il ne peut qu’initier l’attaque avec un client ou serveur qui négocie normalement un chiffrement CBC. N’utilisez cette solution de contournement que si vous ne parvenez pas à désactiver la prise en charge des chiffrements CBC.