[Sécurité] Faille massive OpenSSL sous Debian

sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 - 14 mai 2008 à 15:25
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 - 16 mai 2008 à 13:52
Petite modification, grandes conséquences.

Un des packageurs de Debian avait juste mis une ligne en commentaire dans les sources d'OpenSSL concernant le générateur de nombres aléatoires.
Conséquence: Le générateur de nombre aléatoire modifié ne génère que 262144 clés différentes, ce qui n'est pas assez.

Résultat: Toute machine Debian (et dérivées, dont Ubuntu) utilisant des clés SSH ou des certificats client pour la connexion (ssh, OpenVPN...) est pénétrable en 5 minutes.

Vous n'êtes vulnérable que si:
- vous êtes sous Debian
- vous utilisez OpenSSL ou un logiciel utilisant OpenSSL (ssh, OpenVPN...)
- et si vous utilisez des clés SSH ou des certificats (X.509) pour la connexion.

Ouch.

Il est conseillé de mettre à jour immédiatement OpenSSH sur vos serveurs, et de regénérer toutes les clés.
(Et là, y'a des admins qui vont grincer des dents: va falloir redistribuer toutes les nouvelles clés ssh/openvpn à tous les clients.)
(Notez que, par exemple, si vous utilisez ssh avec login/mot de passe au lieu des clés ssh, vous n'êtes pas vulnérable.)

Notez que la version patchée d'OpenSSL rejettera ces clés "faibles".


Source: Slashdot (et beaucoup d'autres).


C'est très moche, comme bug, et c'est passé inaperçu depuis 2006.

Pour le coup, hein, ils font preque plus fort que Microsoft !

3 réponses

sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
15 mai 2008 à 16:48
Détails précis et en français: http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html

Liste des applications impactées (en plus de ssh et OpenVPN), avec les instructions pour regénérer les clés:
https://wiki.debian.org/SSLkeys
0
teutates Messages postés 19624 Date d'inscription vendredi 28 décembre 2001 Statut Modérateur Dernière intervention 2 janvier 2020 3 586
15 mai 2008 à 19:54
Voir aussi LinuxFR.org
0
Vous n'êtes vulnérables que si... FAUX ! L'impact est *beaucoup* plus vaste que ça !

Lire mon billet pour les détails, mais *surtout* ne pas se croire en sécurité en se fiant à cet article.
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
16 mai 2008 à 13:52
mmm.. oui exact, merci d'avoir précisé.
(ça inclue effectivement des tas d'autres choses, comme les certificats pour Apache en SSL, etc.)
0