Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

Debian : une faille de sécurité importante dans OpenSSL

algérien_dz

Par algérien_dz
dans GNU/Linux et Unix

 Share

Messages recommandés

algérien_dz Newbie

algérien_dz

Posté(e)
Posté(e)

Le site LinuxFR se fait l’écho d’une faille importante touchant le module OpenSSL dans la distribution GNU/Linux Debian, ainsi que sur toutes celles qui en sont dérivées, telles qu'Ubuntu et Xandros. La faille est importante parce qu’elle touche une fonctionnalité au cœur du mécanisme de sécurité : la génération de nombres aléatoires.

 

Le plus gros problème dans cette histoire est que l’origine du bug remonte à 2006, et que toutes les clés et certificats SSL/SSH générés par des machines sous Debian depuis n’ont plus la garantie d’appartenir à un lot titanesque de possibilités. La conséquence directe est que le générateur de nombres aléatoires pourrait en devenir prévisible, ce qui pose évidemment un problème de sécurité.

 

De fait, aucun utilisateur sous Debian ne peut être certain qu’il est à l’abri d’un pirate qui utiliserait le bug en question pour concevoir une attaque efficace. La confidentialité des échanges dans les réseaux privés virtuels (VPN) n’est plus garantie, pas plus que les infrastructures utilisant des clés PKI.

mini-57219-debian-openssl.jpg

 

Le paquet OpenSSL a déjà été corrigé et il est plus que conseillé à tous les utilisateurs d’installer la nouvelle version. Pour garantir un maximum de sécurité, il n’est malheureusement que trop conseillé de générer à nouveau toutes les clés utilisées dans les différentes applications utilisant OpenSSL.

Lien vers le commentaire
Partager sur d’autres sites
Amine Newbie

Amine

Posté(e)
Posté(e)
ici sur ce forum il n'y a pratiquement aucun membre qui va s'intéresser a ton poste

 

Non khouya, avant hier quand j'ai lu la nouvelle sur slashdot, j'ai voulu la poster ici , mais j'ai eu honte! c'est vraiment grave pour debian d'en arriver là! introduire un bug de sécurité sur un paquetage de sécurité !!!

à la prochaine faille critique , je migre même mon cerveau à OpenBSD lol!

Lien vers le commentaire
Partager sur d’autres sites
amarsoft Newbie

amarsoft

Posté(e)
Posté(e)
Non khouya, avant hier quand j'ai lu la nouvelle sur slashdot, j'ai voulu la poster ici , mais j'ai eu honte! c'est vraiment grave pour debian d'en arriver là! introduire un bug de sécurité sur un paquetage de sécurité !!!

mais kho as tu entendu parler d'un pirate qui a exploité cette faille?

à la prochaine faille critique , je migre même mon cerveau à OpenBSD lol!

moi je vais passer a gentoo :)

bien sur je vais garder ubuntu

Lien vers le commentaire
Partager sur d’autres sites
Invité HAVOC

Invité HAVOC

Posté(e)
Posté(e)

Au fait, quelqu'un à déjà essayé CentOS ? Je ne sais pas si ça vaut le coup de passer de Fedora à CentOS (copie de Reh Hat Entreprise).

Lien vers le commentaire
Partager sur d’autres sites
Amine Newbie

Amine

Posté(e)
Posté(e)

Plus sérieusement, l'os parfait n'existe pas c'est clair, faut être fou pour penser le contraire, et même avec ça debian reste l'un des systèmes les plus sûrs! mais je pense qu'avec la multiplication des architectures et le trop grand nombre de paquets , debian risque d'être plus exposé qu'avant!

Mais je vous garanti qu'ils vont très vite rebondir! je lis souvent les newsletter et les rapports de bug de debian , et je constate à chaque fois leur professionnalisme! c'est des pro, et certes l'erreur arrive, mais je suis sûr qu'ils sauront corriger pour que ça n'arrive plus de cette façon.

 

@amarsoft: pour exploiter cette faille , il faut déja deviner le seed, puis sniffer le traffic, donc une sorte de man-in-the-middle (le pirate doit-être assez privilégié sur le réseau). C'est pas très critique pour un utilisateur de desktop, ou même pour un serveur qui en necessite pas une grande confidentialité.

Et pour remédier, il faut mettre à jour openssl, openssh , et regénérer les clés.

http://www.debian.org/security/2008/dsa-1576

http://www.debian.org/security/2008/dsa-1571

 

@havoc: désolé mais j'aime pas centos! lol , vive debian! à chaque fois que j'ai du l'utiliser, je me suis retrouvé à tourner en rond, puis à réinstaller deb, (mais c'est peut-être subjectif).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Share
Aller sur la liste des sujets

  • Messages

    • genio
      Paiement électronique : lancement officiel Mardi

      Par genio · Posté(e)

      je réponds à ma propre question vu que personne ne l'a fait: voici le details que j'avais pas lu sur le site de la BNA (qui est bien fait)   WIMPAY-BNA  ? Disposer d’un système IOS ou Android ; Disposer d’une connexion internet ; Télécharger l’application ; Etre abonné au service « BNA.net » OU au service « Pack WIMPAY-BNA » OU être porteur d’une carte CIB et utilisateur du service SMS OTP (pour les opérations de e-Paiement).   Comment ça marche ? Cas client abonné au service « BNA.net » : Télécharger et installer l’application sur smartphone ; Utiliser l’identifiant et le mot de passe du service « BNA.net » ; Renseigner les informations du client ; Insertion d’un code d’utilisation personnel ; Acceptation des conditions générales d’utilisation ; Validation de la phase d’inscription en saisissant le mot de passe OTP reçu par SMS ou par email.   Cas client abonné au service « Pack WIMPAY-BNA » L’inscription à ce service est offerte gratuitement à chaque client particulier détenteur d’un compte chèque : – Au niveau de l’agence Création de l’abonnement au service « Pack WIMPAY-BNA » par le chargé de clientèle ; – Sur l’application : Réception d’un mail de confirmation comportant l’email d’identification et un code d’accès à usage unique ; Saisie de l’adresse mail d’identification et le code reçu par email ; Réception par SMS d’un mot de passe OTP ; Saisir le mot de passe reçu par SMS afin de valider l’inscription ; Acceptation des conditions générales d’utilisation ; Création d’un code PIN ; Création d’un mot de passe personnalisé.   Cas client porteurs de cartes CIB et utilisateurs du services SMS OTP (pour les opérations de e-Paiement) Ce service est offert gratuitement aux clients détenteurs de cartes CIB et utilisateurs du services SMS OTP (e-Paiement) : Choisir le mode de souscription « Par carte » ; Renseigner les six (06) premiers chiffres, les quatre (04) derniers chiffres et la date d’expiration de la carte CIB ; Renseigner un numéro de téléphone valide afin de recevoir un SMS OTP; Introduire le mot de passe OTP reçu pour la validation de l’inscription ; Renseigner les informations du client ; Insertion d’un code d’utilisation personnel ; Acceptation des conditions générales d’utilisation ; Création du mot de passe personnel WIMPAY.  
    • genio
      Enceintes Home Cinema - Hifi MONITOR AUDIO

      Par genio · Posté(e)

      @Aizen tous les prix sont affichés dans toutes les config... je reste dispo pour d'autres infos frere, tu te fais rare ici !
    • Aizen
      Enceintes Home Cinema - Hifi MONITOR AUDIO

      Par Aizen · Posté(e)

      salem,  le pack est à combien ? 
    • Aizen
      Ecran ViewSonic 22 pouce CRT G220F graphics Series pro

      Par Aizen · Posté(e)

      Salem, c'est pour quelle utilisation ? Retrogaming ? 
    • genio
      Convention Enseignement / Algérie telecom

      Par genio · Posté(e)

      @aminou merci pour ce retour, bizarre quand meme que EC ne dise rien; et correction c'est pas "conversation" mais "convention" hahahaha ! je crois aussi que 500 megas et 1giga ne seront pas concernés...en effet on devra probablement attendre un contrat qui aura lieu au bas mot fin 2025....bon on verra bien c'est dans 6 mois inchallah; deja savoir qu'on aura ces offres je crois que c'est du jamais vécu en algerie ou auparavant c'etait les rumeurs sur ce meme forum qui donnaient les infos ...
×
×
  • Créer...