C’est par ici. (en anglais)

Concrètement, openssl génère notamment des clés privées et des clés publiques pour chiffrer des données. Le problème est que les clé qu’il génère sont “prévisible”, c’est-à-dire que l’on peu deviner à quoi elles vont ressembler…

En gros, il vous faut (au plus vite !) mettre le paquet à jour (apt-get update && apt-get upgrade) dans un terminal et régénérer TOUTES vos clés qui ont été “atteintes” (on parle là des clés faites avec openssl, vos clés GnuPG ne sont pas touchées…) si elles ont été générées avec debian depuis septembre 2006, ou sur la version 7.04, 7.10 et 8.04 d’ubuntu (notamment). Openvpn est, entre autres, touché par le problème.

Un petit script est disponible ici pour savoir si vos clés sont vulnérables.

Notez que si vous êtes sous une autre distribution que debian et ses dérivées, vérifiez aussi que vous n’avez pas importé de clé qui sont touchées par le problème, par exemple pour l’authentification par clé sur votre serveur ssh d’un utilisateur externe…

C’est quand même fou d’avoir laissé une faille pareille depuis le 17/09/2006… Vive arch :p

---

Comments

Vulnérabilité Openssl sur Debian et Ubuntu !!!…

Il est d’autant plus urgent de mettre à jour vos plateformes que cette vulnérabilité est maintenant connue !! Openssl est la couche logicielle qui effectue le chiffrement des données via le protocole SSL . Ce protocole basé sur un couple clef pri…

Vu et Entendu…, 2008-05-14 22:26:56

---

Un sudo ssh-vulnkey -a vous dira si vos clefs sont vulnérable.

Fugitif, 2008-05-15 11:47:56

---

@ tous → aptitude update && aptitude upgrade

Apt-get c’est fini !

zartche, 2008-05-15 20:50:27

---

[…] Je ne résiste pas au plaisir de vous faire profiter d’une image qui n’ira pas sans vous rappeler l’actualité d’aujourd’hui en sécurité. […]

ChMD » Blog Archive » humour, 2008-05-15 00:03:45

---

[…] … ou un dérivé de Dedian ? Vite : apt-get update && apt-get-upgrade [Source : blog.theglu.org et security.debian.org] Marqué comme: openssl, […]

Vulnérabilité openssl pour Debian et dérivés | s2ii.com, 2008-05-14 16:59:23

---

Merci The Glu de m’avoir informé hier ! J’ai pu gagner du temps et mettre à jour les clés de la majorité de mes serveurs. Là, je vais finir la suite :)

Asher256, 2008-05-14 08:22:31

---

A priori, seules les clés DSA ayant touché les machines vulnérables sont vulnérables. Les clés RSA n’auraient pas ce problème. A vérifier, bien entendu.

The Toon, 2008-05-14 09:19:35

---

Pour info, les devs de Debian avaient découvert avec Valgrind une soi-disant fuite mémoire (données non initialisées) qui servait en fait à rendre aléatoire la génération des clés. Ils ont donc initialisé cette zone mémoire (donc perte de l’aléatoire) et n’ont pas jugé utile de remonter l’info “upstream” (qui leur aurait dit que non ce n’était pas un bug)…

slasher-fun, 2008-05-14 15:48:11

---

[…] vite : apt-get update && apt-get-upgrade [Source : blog.theglu.org et security.debian.org] Marqué comme: openssl, […]

Vulnérabilité openssl pour Debian et dérivés | s2ii.com, 2008-05-14 09:20:31

---

Merci The Glu .

tuxargon, 2008-05-14 09:38:25

---

Petite coquille : apt-get-upgrade → apt-get upgrade

Nicolas, 2008-05-14 14:28:26

---

Corrigé, merci.

The_Glu, 2008-05-14 14:30:24

---

Merci pour l’info !

Nerach, 2008-05-14 15:06:06

---

Après la mise a jours, un nouvelle outils ssh-vulnkey permet de vérifier si ses clef sont vulnérables.

Gandoulf, 2008-05-14 16:46:39

---