Vulnérabilité SSL “Poodle” : WAS et Liberty concernés également
Rappel : Une nouvelle vulnérabilité a été découverte dans SSL.Il ne s’agit pas d’une vulnérabilité dans l’implémentation (comme pour Heartbleed), mais dans le design même du protocole.
La seule solution est de forcer l’utilisation de TLS au lieu de SSL.
Après l’IHS hier, IBM annonce que WAS (WebSphere Application Server) ainsiq que Liberty Profile sont concernés est concerné (CVE-2014-3566).
- Avis du CERTA : http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/CERTFR-2014-ALE-007.html
- Alerte ISS : http://xforce.iss.net/xforce/xfdb/97013
Le lien ci-dessous explique comment forcer l’utilisation de TLS dans le serveur embarqué du WAS.