Vigil@nce - OpenSSL : option no-ssl3 non efficace
octobre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut continuer à utiliser SSLv3, même si OpenSSL a
été compilé avec no-ssl3.
Produits concernés : Debian, McAfee Email and Web Security, McAfee
Email Gateway, ePO, OpenSSL, Slackware, stunnel
Gravité : 1/4
Date création : 15/10/2014
DESCRIPTION DE LA VULNÉRABILITÉ
La bibliothèque OpenSSL peut être compilée avec l’option no-ssl3,
afin de désactiver SSLv3.
Cependant, cette option est inefficace.
Un attaquant peut donc continuer à utiliser SSLv3, même si OpenSSL
a été compilé avec no-ssl3.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/OpenSSL-option-no-ssl3-non-efficace-15491