[Sécurité] Faille massive OpenSSL sous Debian
sebsauvage
Messages postés
32893
Date d'inscription
Statut
Modérateur
Dernière intervention
-
sebsauvage Messages postés 32893 Date d'inscription Statut Modérateur Dernière intervention -
sebsauvage Messages postés 32893 Date d'inscription Statut Modérateur Dernière intervention -
Petite modification, grandes conséquences.
Un des packageurs de Debian avait juste mis une ligne en commentaire dans les sources d'OpenSSL concernant le générateur de nombres aléatoires.
Conséquence: Le générateur de nombre aléatoire modifié ne génère que 262144 clés différentes, ce qui n'est pas assez.
Résultat: Toute machine Debian (et dérivées, dont Ubuntu) utilisant des clés SSH ou des certificats client pour la connexion (ssh, OpenVPN...) est pénétrable en 5 minutes.
Vous n'êtes vulnérable que si:
- vous êtes sous Debian
- vous utilisez OpenSSL ou un logiciel utilisant OpenSSL (ssh, OpenVPN...)
- et si vous utilisez des clés SSH ou des certificats (X.509) pour la connexion.
Ouch.
Il est conseillé de mettre à jour immédiatement OpenSSH sur vos serveurs, et de regénérer toutes les clés.
(Et là, y'a des admins qui vont grincer des dents: va falloir redistribuer toutes les nouvelles clés ssh/openvpn à tous les clients.)
(Notez que, par exemple, si vous utilisez ssh avec login/mot de passe au lieu des clés ssh, vous n'êtes pas vulnérable.)
Notez que la version patchée d'OpenSSL rejettera ces clés "faibles".
Source: Slashdot (et beaucoup d'autres).
C'est très moche, comme bug, et c'est passé inaperçu depuis 2006.
Pour le coup, hein, ils font preque plus fort que Microsoft !
Un des packageurs de Debian avait juste mis une ligne en commentaire dans les sources d'OpenSSL concernant le générateur de nombres aléatoires.
Conséquence: Le générateur de nombre aléatoire modifié ne génère que 262144 clés différentes, ce qui n'est pas assez.
Résultat: Toute machine Debian (et dérivées, dont Ubuntu) utilisant des clés SSH ou des certificats client pour la connexion (ssh, OpenVPN...) est pénétrable en 5 minutes.
Vous n'êtes vulnérable que si:
- vous êtes sous Debian
- vous utilisez OpenSSL ou un logiciel utilisant OpenSSL (ssh, OpenVPN...)
- et si vous utilisez des clés SSH ou des certificats (X.509) pour la connexion.
Ouch.
Il est conseillé de mettre à jour immédiatement OpenSSH sur vos serveurs, et de regénérer toutes les clés.
(Et là, y'a des admins qui vont grincer des dents: va falloir redistribuer toutes les nouvelles clés ssh/openvpn à tous les clients.)
(Notez que, par exemple, si vous utilisez ssh avec login/mot de passe au lieu des clés ssh, vous n'êtes pas vulnérable.)
Notez que la version patchée d'OpenSSL rejettera ces clés "faibles".
Source: Slashdot (et beaucoup d'autres).
C'est très moche, comme bug, et c'est passé inaperçu depuis 2006.
Pour le coup, hein, ils font preque plus fort que Microsoft !
A voir également:
- [Sécurité] Faille massive OpenSSL sous Debian
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Clé de sécurité windows 10 gratuit - Guide
- Bouton sécurité windows - Forum Windows
3 réponses
Détails précis et en français: http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html
Liste des applications impactées (en plus de ssh et OpenVPN), avec les instructions pour regénérer les clés:
https://wiki.debian.org/SSLkeys
Liste des applications impactées (en plus de ssh et OpenVPN), avec les instructions pour regénérer les clés:
https://wiki.debian.org/SSLkeys
