Salut Skywalker13,

Merci pour les informations.

Pourquoi sommes nous toujours à la version version 0.9.8g-15 d'openssl et pas  0.9.8j ?

Sur le site d'openssl est mentionné :

07-Jan-2009:        OpenSSL 0.9.8j is now available, including important bug fixes

Si tu suis les liens que tu as donné et en particulier http://www.debian.org/security/2008/dsa-1571, tu t'apercevras que la faille a été corrigée dans les paquets Debian.

Il faut faire la différence entre les versions les plus à jour du point de vue du développement du logiciel et les version les plus à jour du point de vue de la sécurité.
Debian empaquette des logiciels à une version donnée du point de vue du développement et ne passe normalement jamais à une nouvelle version en ce qui concerne Debian Stable et Testing en phase de gel.
Néanmoins, ils sont très sérieux niveau sécurité et les mainteneurs appliquent les patches nécessaires du point de vue de la sécurité, indépendamment de la version du logiciel en développement.

Le souci de cette faille de sécurité est surtout qu'elle affecte les clés SSH, OpenVPN, DNSSEC les certificats X.509 et les clés de session des connexions SSL/TLS générés avec la version buggées d'openssl.

[EDIT]
me pwnd!

Dernière modification par Eggman (21 Jan 2009 16:59:03)

Skywalker13 à écrit

tu oublies le "-15"
la version est gelée en 0.9.8g mais le 15 représente les mises à niveau faites par Debian tel que les corrections de sécurité.. donc ce n'est pas réellement une version 0.9.8g

Ahhhh ... si j'ai bien compris ... la dénomination des mises à jours de Debian ne suivent pas celles de openssl .

Donc la version 0.9.8g-15 (openssl debian)  équivaut à la version 0.9.8j openssl .... c'est bien ça ?

OdyX à écrit

Par ailleurs, il te faut changer tes clefs privées OpenSSL, en suivant les informations indiquées sur http://www.debian.org/security/key-rollover/ (malheureusement en anglais).

Oui j'ai vue ... ce lien figure dans un des liens que j'ai publié http://www.debian.org/security/2008/dsa-1571
.... et pour l'anglais ça va très bien ... je parle aussi  l'allemand.
En tout cas MERCI.

Merci aussi à Eggman pour les explications détaillé.

Par contre je m'inquiète un peux pour la mise à jour des clés de sécurité de bind9 .... Je me souviens l'année dernière j'ai eu un gros soucis durant l'installation de debian sur une Dedibox .... on verra bien ...

Dernière modification par Didier100 (21 Jan 2009 17:46:21)

Salut Didier100,

les développeurs Debian savaient sans doute avant la publication de la note qu'il y avait un risque.

Debian est une distribution importante inclue dans les cercles d'embargo (embargo: on garde la chose secrète le temps de le corriger) pour ce genre de choses traitant de la sécurité.

Concernant le bogue que tu pointes, Debian a déjà plusieurs bogues rapportés et une partie corrigés:
http://www.google.ch/search?q=site%3Abu … erifyFinal

À moins d'avoir de solides connaissances en compilation, il est très difficile d'avoir des mises à jour de sécurité plus vite que Debian. Les gens qui bossent dans Debian sont très calés et réagissent vite: leurs mises à jour de sécurité arrivent vite et bien, avec l'information nécessaire.

Je te conseille de t'inscrire à la liste "debian-security-announce" qui informe ses inscrits de toutes les mises à jour de sécurité:

http://lists.debian.org/debian-security-announce/

En deux mots: ne te fais pas de souci et lit les avis de sécurité de cette liste !

@+, OdyX