[Sécurité] Faille massive OpenSSL sous Debian

Petite modification, grandes conséquences.

Un des packageurs de Debian avait juste mis une ligne en commentaire dans les sources d'OpenSSL concernant le générateur de nombres aléatoires.
Conséquence: Le générateur de nombre aléatoire modifié ne génère que 262144 clés différentes, ce qui n'est pas assez.

Résultat: Toute machine Debian (et dérivées, dont Ubuntu) utilisant des clés SSH ou des certificats client pour la connexion (ssh, OpenVPN...) est pénétrable en 5 minutes.

Vous n'êtes vulnérable que si:
- vous êtes sous Debian
- vous utilisez OpenSSL ou un logiciel utilisant OpenSSL (ssh, OpenVPN...)
- et si vous utilisez des clés SSH ou des certificats (X.509) pour la connexion.

Ouch.

Il est conseillé de mettre à jour immédiatement OpenSSH sur vos serveurs, et de regénérer toutes les clés.
(Et là, y'a des admins qui vont grincer des dents: va falloir redistribuer toutes les nouvelles clés ssh/openvpn à tous les clients.)
(Notez que, par exemple, si vous utilisez ssh avec login/mot de passe au lieu des clés ssh, vous n'êtes pas vulnérable.)

Notez que la version patchée d'OpenSSL rejettera ces clés "faibles".


Source: Slashdot (et beaucoup d'autres).


C'est très moche, comme bug, et c'est passé inaperçu depuis 2006.

Pour le coup, hein, ils font preque plus fort que Microsoft !