Le Forum
Vous n'êtes pas identifié.
Pages: 1
- Index
- » Réseau & Sécurité
- » [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness
#1 14 May 2008 11:24:45
[CRITICAL] Debian OpenSSL Package Random Number Generator Weakness
Hello,
Je vois que personne d'ici n'en a encore parlé, alors voila:
http://www.securityfocus.com/bid/29179
http://www.ubuntu.com/usn/usn-612-1
Utilisateurs de Debian et ses dérivés (Ubuntu), il est urgent de mettre à jour votre installation d'OpenSSL vers la dernière version dès que possible, et de regénérer tout le matériel cryptographique en dépendant, ce qui inclut paires de clefs OpenSSH, certificats X.509 pour SSL, clefs asymétriques OU clefs partagées OpenVPN, qui ont été générées sur un système vulnérable, ou dont la partie privée a été utilisée sur un système vulnérable.
Dieu merci, il semblerait que GnuPG ne soit pas affecté.
Hors ligne
#2 14 May 2008 13:04:19
Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness
Déjà fait... Tout bon admin Debian est inscrit à debian-user-announce et debian-user-announce-security où il a reçu ça hier... 
Ceci dit, je pense que le fait qu'on découvre une telle faille et que les utilisateurs en soient avertis de manière transparente et claire est extrêmement positif. C'est preuve que Debian reconnaît ses erreurs et agit en conséquence.
Finalement, il ne faut pas oublier que le risque de se faire attaquer ne dépend pas de la qualité technique de la sécurité mise en place, mais de la valeur financière des données protégées.
++, OdyX
Hors ligne
#3 14 May 2008 15:28:41
Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness
Hello,
..le risque de se faire attaquer ne dépend pas de la qualité technique de la sécurité mise en place, mais de la valeur financière des données protégées.
Dans le cadre du vol ou de la destruction d'informations, certes. Il existe ici en plus un risque de prise du contrôle de systèmes en masse en vue de leur utilisation comme zombies, ce qui est économiquement suffisant pour justifier une attaque sur un utilisateur lambda ! (la preuve, la popularité actuelle des botnets.) Dans ce cas, je pense que se considérer à l'abri a cause de l'absence de données sensibles est une erreur grave.
Hors ligne
#4 14 May 2008 16:11:40
Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness
C'est vrai. Il est évidemment indispensable de se protéger (pas qu'en informatique d'ailleurs 
) et d'adopter une stratégie de sécurité adaptée.
Par contre, je pense qu'il ne faut pas céder au catastrophisme ou à la panique. Il faut juste prendre rapidement les mesures qui s'imposent.
Aux organes décisionnels de Debian de voir ce qu'ils veulent tirer de cette triste expérience.
Bref. Sachons garder tête froide !
Hors ligne
#5 14 May 2008 22:59:42
Re: [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness
Je comprend enfin l'importance du cours de programmation (sur le sujet de création de nombres aléatoires) du collège grâce à cette erreur , parce qu'en lisant http://www.debian.org/security/2008/dsa-1571 , j'ai appris que l'erreur est due à un "predictable random number generator" [traduction : "générateur de nombre aléatoire prévisible"].
Dernière modification par Trim (14 May 2008 23:00:04)
Hors ligne
Pages: 1
- Index
- » Réseau & Sécurité
- » [CRITICAL] Debian OpenSSL Package Random Number Generator Weakness