algérien_dz Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 Le site LinuxFR se fait l’écho d’une faille importante touchant le module OpenSSL dans la distribution GNU/Linux Debian, ainsi que sur toutes celles qui en sont dérivées, telles qu'Ubuntu et Xandros. La faille est importante parce qu’elle touche une fonctionnalité au cœur du mécanisme de sécurité : la génération de nombres aléatoires. Le plus gros problème dans cette histoire est que l’origine du bug remonte à 2006, et que toutes les clés et certificats SSL/SSH générés par des machines sous Debian depuis n’ont plus la garantie d’appartenir à un lot titanesque de possibilités. La conséquence directe est que le générateur de nombres aléatoires pourrait en devenir prévisible, ce qui pose évidemment un problème de sécurité. De fait, aucun utilisateur sous Debian ne peut être certain qu’il est à l’abri d’un pirate qui utiliserait le bug en question pour concevoir une attaque efficace. La confidentialité des échanges dans les réseaux privés virtuels (VPN) n’est plus garantie, pas plus que les infrastructures utilisant des clés PKI. Le paquet OpenSSL a déjà été corrigé et il est plus que conseillé à tous les utilisateurs d’installer la nouvelle version. Pour garantir un maximum de sécurité, il n’est malheureusement que trop conseillé de générer à nouveau toutes les clés utilisées dans les différentes applications utilisant OpenSSL. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
amarsoft Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 merci fréro je vais te dire une chose une bonne chose ici sur ce forum il n'y a pratiquement aucun membre qui va s'intéresser a ton poste mais ne te décourage pas derdja derdja, on va poster et poster jusqu'à que les autres s'intéressent Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amine Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 ici sur ce forum il n'y a pratiquement aucun membre qui va s'intéresser a ton poste Non khouya, avant hier quand j'ai lu la nouvelle sur slashdot, j'ai voulu la poster ici , mais j'ai eu honte! c'est vraiment grave pour debian d'en arriver là! introduire un bug de sécurité sur un paquetage de sécurité !!! à la prochaine faille critique , je migre même mon cerveau à OpenBSD lol! Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 Red Hat jusqu'au bout ! lol Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
amarsoft Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 aya inta barka ma tochkor fi fedora Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
amarsoft Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 Non khouya, avant hier quand j'ai lu la nouvelle sur slashdot, j'ai voulu la poster ici , mais j'ai eu honte! c'est vraiment grave pour debian d'en arriver là! introduire un bug de sécurité sur un paquetage de sécurité !!! mais kho as tu entendu parler d'un pirate qui a exploité cette faille? à la prochaine faille critique , je migre même mon cerveau à OpenBSD lol! moi je vais passer a gentoo bien sur je vais garder ubuntu Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
assilabox Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 mmmh... Walah moi aussi je me suis senti tba8dili Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 De toute façon un OS total secure cela n'existe pas, une faille critique quelques rares fois c'est une chose "normale". Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité HAVOC Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 Au fait, quelqu'un à déjà essayé CentOS ? Je ne sais pas si ça vaut le coup de passer de Fedora à CentOS (copie de Reh Hat Entreprise). Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amine Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 Plus sérieusement, l'os parfait n'existe pas c'est clair, faut être fou pour penser le contraire, et même avec ça debian reste l'un des systèmes les plus sûrs! mais je pense qu'avec la multiplication des architectures et le trop grand nombre de paquets , debian risque d'être plus exposé qu'avant! Mais je vous garanti qu'ils vont très vite rebondir! je lis souvent les newsletter et les rapports de bug de debian , et je constate à chaque fois leur professionnalisme! c'est des pro, et certes l'erreur arrive, mais je suis sûr qu'ils sauront corriger pour que ça n'arrive plus de cette façon. @amarsoft: pour exploiter cette faille , il faut déja deviner le seed, puis sniffer le traffic, donc une sorte de man-in-the-middle (le pirate doit-être assez privilégié sur le réseau). C'est pas très critique pour un utilisateur de desktop, ou même pour un serveur qui en necessite pas une grande confidentialité. Et pour remédier, il faut mettre à jour openssl, openssh , et regénérer les clés. http://www.debian.org/security/2008/dsa-1576 http://www.debian.org/security/2008/dsa-1571 @havoc: désolé mais j'aime pas centos! lol , vive debian! à chaque fois que j'ai du l'utiliser, je me suis retrouvé à tourner en rond, puis à réinstaller deb, (mais c'est peut-être subjectif). Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
amarsoft Posté(e) le 15 mai 2008 Share Posté(e) le 15 mai 2008 merci amine au coté d'ubuntu je pense que la maj est déja faite car j'ai vue une maj openssl hier Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.