Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 14 May 2008 11:24:45

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

[CRITICAL] Debian OpenSSL Package Random Number Generator Weakness

Hello,

  Je vois que personne d'ici n'en a encore parlé, alors voila:

http://www.securityfocus.com/bid/29179
http://www.ubuntu.com/usn/usn-612-1

Utilisateurs de Debian et ses dérivés (Ubuntu), il est urgent de mettre à jour votre installation d'OpenSSL vers la dernière version dès que possible, et de regénérer tout le matériel cryptographique en dépendant, ce qui inclut paires de clefs OpenSSH, certificats X.509 pour SSL, clefs asymétriques OU clefs partagées OpenVPN, qui ont été générées sur un système vulnérable, ou dont la partie privée a été utilisée sur un système vulnérable.

Dieu merci, il semblerait que GnuPG ne soit pas affecté.

Hors ligne

 

#2 14 May 2008 13:04:19

OdyX
Alumni (ex-membre)
Lieu: Vevey
Date d'inscription: 06 Jun 2006
Messages: 490
Site web

Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness

Déjà fait... Tout bon admin Debian est inscrit à debian-user-announce et debian-user-announce-security où il a reçu ça hier... smile

Ceci dit, je pense que le fait qu'on découvre une telle faille et que les utilisateurs en soient avertis de manière transparente et claire est extrêmement positif. C'est preuve que Debian reconnaît ses erreurs et agit en conséquence.

Finalement, il ne faut pas oublier que le risque de se faire attaquer ne dépend pas de la qualité technique de la sécurité mise en place, mais de la valeur financière des données protégées.

++, OdyX

Hors ligne

 

#3 14 May 2008 15:28:41

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness

Hello,

..le risque de se faire attaquer ne dépend pas de la qualité technique de la sécurité mise en place, mais de la valeur financière des données protégées.

Dans le cadre du vol ou de la destruction d'informations, certes. Il existe ici en plus un risque de prise du contrôle de systèmes en masse en vue de leur utilisation comme zombies, ce qui est économiquement suffisant pour justifier une attaque sur un utilisateur lambda ! (la preuve, la popularité actuelle des botnets.) Dans ce cas, je pense que se considérer à l'abri a cause de l'absence de données sensibles est une erreur grave.

Hors ligne

 

#4 14 May 2008 16:11:40

OdyX
Alumni (ex-membre)
Lieu: Vevey
Date d'inscription: 06 Jun 2006
Messages: 490
Site web

Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness

C'est vrai. Il est évidemment indispensable de se protéger (pas qu'en informatique d'ailleurs wink ) et d'adopter une stratégie de sécurité adaptée.

Par contre, je pense qu'il ne faut pas céder au catastrophisme ou à la panique. Il faut juste prendre rapidement les mesures qui s'imposent.

Aux organes décisionnels de Debian de voir ce qu'ils veulent tirer de cette triste expérience.

Bref. Sachons garder tête froide !

Hors ligne

 

#5 14 May 2008 22:59:42

Trim
Gourou(e) du libre
Lieu: Saxon, Valais
Date d'inscription: 17 Oct 2007
Messages: 364
Site web

Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness

Je comprend enfin l'importance du cours de programmation (sur le sujet de création de nombres aléatoires) du collège grâce à cette erreur smile , parce qu'en lisant http://www.debian.org/security/2008/dsa-1571 , j'ai appris que l'erreur est due à un "predictable random number generator" [traduction : "générateur de nombre aléatoire prévisible"].

Dernière modification par Trim (14 May 2008 23:00:04)

Hors ligne

 

Pied de page des forums

Powered by FluxBB