T h e G l u 's blog

Vulnérabilité dans l’openssl de debian et ses dérivés (comme ubuntu), mettez vous à jour !

mai 14th, 2008

C’est par ici. (en anglais)

Concrètement, openssl génère notamment des clés privées et des clés publiques pour chiffrer des données. Le problème est que les clé qu’il génère sont « prévisible », c’est-à-dire que l’on peu deviner à quoi elles vont ressembler…

En gros, il vous faut (au plus vite !) mettre le paquet à jour (apt-get update && apt-get upgrade) dans un terminal et régénérer TOUTES vos clés qui ont été « atteintes » (on parle là des clés faites avec openssl, vos clés GnuPG ne sont pas touchées…) si elles ont été générées avec debian depuis septembre 2006, ou sur la version 7.04, 7.10 et 8.04 d’ubuntu (notamment). Openvpn est, entre autres, touché par le problème.

Un petit script est disponible ici pour savoir si vos clés sont vulnérables.

Notez que si vous êtes sous une autre distribution que debian et ses dérivées, vérifiez aussi que vous n’avez pas importé de clé qui sont touchées par le problème, par exemple pour l’authentification par clé sur votre serveur ssh d’un utilisateur externe…

C’est quand même fou d’avoir laissé une faille pareille depuis le 17/09/2006… Vive arch :p

14 commentaires Digg this

14 commentaires

  1. Asher256 mai 14th, 2008 08:22
    Gravatar

    Merci The Glu de m’avoir informé hier ! J’ai pu gagner du temps et mettre à jour les clés de la majorité de mes serveurs. Là, je vais finir la suite :)

  2. The Toon mai 14th, 2008 09:19
    Gravatar

    A priori, seules les clés DSA ayant touché les machines vulnérables sont vulnérables. Les clés RSA n’auraient pas ce problème. A vérifier, bien entendu.

  3. Vulnérabilité openssl pour Debian et dérivés | s2ii.com mai 14th, 2008 09:20
    Gravatar

    [...] vite : apt-get update && apt-get-upgrade [Source : blog.theglu.org et security.debian.org] Marqué comme: openssl, [...]

  4. tuxargon mai 14th, 2008 09:38
    Gravatar

    Merci The Glu .

  5. Nicolas mai 14th, 2008 14:28
    Gravatar

    Petite coquille : apt-get-upgrade → apt-get upgrade

  6. The_Glu mai 14th, 2008 14:30
    Gravatar

    Corrigé, merci.

  7. Nerach mai 14th, 2008 15:06
    Gravatar

    Merci pour l’info !

  8. slasher-fun mai 14th, 2008 15:48
    Gravatar

    Pour info, les devs de Debian avaient découvert avec Valgrind une soi-disant fuite mémoire (données non initialisées) qui servait en fait à rendre aléatoire la génération des clés. Ils ont donc initialisé cette zone mémoire (donc perte de l’aléatoire) et n’ont pas jugé utile de remonter l’info « upstream » (qui leur aurait dit que non ce n’était pas un bug)…

  9. Gandoulf mai 14th, 2008 16:46
    Gravatar

    Après la mise a jours, un nouvelle outils ssh-vulnkey permet de vérifier si ses clef sont vulnérables.

  10. Vulnérabilité openssl pour Debian et dérivés | s2ii.com mai 14th, 2008 16:59
    Gravatar

    [...] … ou un dérivé de Dedian ? Vite : apt-get update && apt-get-upgrade [Source : blog.theglu.org et security.debian.org] Marqué comme: openssl, [...]

  11. Vu et Entendu... mai 14th, 2008 22:26
    Gravatar

    Vulnérabilité Openssl sur Debian et Ubuntu !!!…

    Il est d’autant plus urgent de mettre à jour vos plateformes que cette vulnérabilité est maintenant connue !! Openssl est la couche logicielle qui effectue le chiffrement des données via le protocole SSL . Ce protocole basé sur un couple clef pri…

  12. ChMD » Blog Archive » humour mai 15th, 2008 00:03
    Gravatar

    [...] Je ne résiste pas au plaisir de vous faire profiter d’une image qui n’ira pas sans vous rappeler l’actualité d’aujourd’hui en sécurité. [...]

  13. Fugitif mai 15th, 2008 11:47
    Gravatar

    Un sudo ssh-vulnkey -a vous dira si vos clefs sont vulnérable.

  14. zartche mai 15th, 2008 20:50
    Gravatar

    @ tous → aptitude update && aptitude upgrade

    Apt-get c’est fini !

Ajouter un commentaire

Valid XHTML 1.0 Strict Valid CSS! Powered by Php5 MySql powered Apache powered Get FireFox ! The Ubuntu Counter Project - user number # 7261

phpMyVisites | Open source web analytics Statistics