TrocWeb Posté 16 Mai 2008 Partager Posté 16 Mai 2008 (modifié) Le site LinuxFR se fait l'écho d'une faille importante touchant le module OpenSSL dans la distribution GNU/Linux Debian, ainsi que sur toutes celles qui en sont dérivées, telles qu'Ubuntu et Xandros. La faille est importante parce qu'elle touche une fonctionnalité au cur du mécanisme de sécurité : la génération de nombres aléatoires. Le plus gros problème dans cette histoire est que l'origine du bug remonte à 2006, et que toutes les clés et certificats SSL/SSH générés par des machines sous Debian depuis n'ont plus la garantie d'appartenir à un lot titanesque de possibilités. La conséquence directe est que le générateur de nombres aléatoires pourrait en devenir prévisible, ce qui pose évidemment un problème de sécurité. De fait, aucun utilisateur sous Debian ne peut être certain qu'il est à l'abri d'un pirate qui utiliserait le bug en question pour concevoir une attaque efficace. La confidentialité des échanges dans les réseaux privés virtuels (VPN) n'est plus garantie, pas plus que les infrastructures utilisant des clés PKI. Le paquet OpenSSL a déjà été corrigé et il est plus que conseillé à tous les utilisateurs d'installer la nouvelle version. Pour garantir un maximum de sécurité, il n'est malheureusement que trop conseillé de générer à nouveau toutes les clés utilisées dans les différentes applications utilisant OpenSSL. article de Linuxfr.org ici Modifié 16 Mai 2008 par TrocWeb Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 16 Mai 2008 Partager Posté 16 Mai 2008 Cette faille a été postée le 13/05 sur la liste de sécurité Debian et tous les serveurs Debian infogérés par le Hub ont été mis à jour le même jour dans les deux heures qui ont suivi. Merci tout de même pour cette annonce ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kioob Posté 17 Mai 2008 Partager Posté 17 Mai 2008 (modifié) Pour moi le plus chiant n'est même pas les clés SSH, mais plutôt le reste : les certificats SSL d'Apache, Dovecot, Exim, PureFTPd, voir MySQL, ainsi que les clés DomainKeys à régénérer, redéployer, revérifier, etc. D'ailleurs, quand on a un joli certificat acheté, ssh-vulnkey fonctionne dessus ? Je n'ai même pas vérifié tiens. Modifié 18 Mai 2008 par Kioob Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant