Faille OpenSSL

Salut à toutes et à tous,

Faille de taille dans OpenSSL :
lists.debian.org/debian-securit … 00071.html

Bonnes mises à jour :wink:

Ils n’ont pas traîné, j’ai reçu la mise à jour avant même d’avoir été au courant. Pourtant je suis ce genre de news tous les jours via mes flux RSS !

Re-générez vos clés/certificats ssl

linuxfr.org/news/nouvelle-vulne … on-openssl

En anglais, très complet
heartbleed.com/

J’ai aussi eu les mises à jour avant l’annonce.
Par contre refaire les certificats pour tous les domaines m’a coûté du temps.

Malgré le retrait de cacert du paquet ca-certificates, j’en ai relancé certains là-bas.
Je ne sais pas si par hasard vous connaissez une autre source gratuite pour créer des certificats, qui soit bien déployée.
Je suis bien content de ne pas les avoir faits chez startcom, chaque révocation coûte près de 25$ …

J’en doute Debian a sortie la correction quelques heures (~ 4h) après le CVE.

StartSSL ?

J’en doute Debian a sortie la correction quelques heures (~ 4h) après le CVE.[/quote]

Pour mes serveurs persos c’est debian, mais serveur ubuntu pour le boulot, la màj était là lundi.
Ou alors je confonds de nouveau les jours.

[quote=“MisterFreez”]

StartSSL ?[/quote]

C’est ce que je cite plus haut ( startcom ) : 25$ par révocation, pas de certificats multi-domaines ( ou wildcard ) pour le premier niveau, c’est embêtant.

A ma connaissance CA-cert et StartCom sont les 2 seules qui te permettent d’avoir autre chose que de l’auto signé … sinon je pense être passé au travers du dangé vue que mon serveur est encore en Wheezy :mrgreen: pour une fois qu’être en retard a du bon :023

Je vous rassure j’ai prévue de changé tout ça mais j’ai des problème de conf avec OpenSmtpd :12

Merci, tu confirmes ce que je pensais déjà.
Va falloir passer au payant bientôt alors…

Tu voulais dire Squeeze, n’est-ce pas ?

Heuu oui, désolé je mélange :blush:

2 articles dans Libe qui résument bien je trouve.

Encore une mise à jour de sécurité (stable) concernant openssl ce matin.
Comment ça se fait?

Montre :
[code]openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Fix CVE-2010-5298: use-after-free race condition.
  * Add a versioned dependency from openssl to libssl1.0.0 to a version
    that has the fix for CVE-2014-0160 (Closes: #744194).
  * Propose restarting prosody on upgrade (Closes: #744871).
  * Correctly detect apache2 installations and propose it to be
    restarted (Closes: #744141).
  * Add more services to be checked for restart.
  * Fix a bug where the critical flag for TSA extended key usage is not
    always detected, and two other similar cases.
  * Add support for 'libraries/restart-without-asking', which allows
    services to be restarted automatically without prompting, or
    requiring a response instead.
  * Fix CVE-2014-0076: "Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack"
    (Closes: #742923).

 -- Raphael Geissert <geissert@debian.org>  Thu, 17 Apr 2014 22:11:33 +0200[/code]
Donc ça corrige 3 failles (CVE-2014-0076, CVE-2014-0160 et CVE-2010-5298) et ça améliore les propositions de services à relancer pour correctement prendre en compte la nouvelle version. Il faut s'attendre à quelques mises à jours d'OpenSSL dans les prochaines semaines/mois, il y a actuellement pas mal de monde qui y jette un œil. C'est un effet de la faille.

Je présume que GnuTLS va un peu gagner en popularité (ainsi que d'autres bibliothèques moins connues).

Montre :

[code]openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high

  • Non-maintainer upload by the Security Team.
  • Fix CVE-2010-5298: use-after-free race condition.
  • Add a versioned dependency from openssl to libssl1.0.0 to a version
    that has the fix for CVE-2014-0160 (Closes: #744194).
  • Propose restarting prosody on upgrade (Closes: #744871).
  • Correctly detect apache2 installations and propose it to be
    restarted (Closes: #744141).
  • Add more services to be checked for restart.
  • Fix a bug where the critical flag for TSA extended key usage is not
    always detected, and two other similar cases.
  • Add support for ‘libraries/restart-without-asking’, which allows
    services to be restarted automatically without prompting, or
    requiring a response instead.
  • Fix CVE-2014-0076: “Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack”
    (Closes: #742923).

– Raphael Geissert geissert@debian.org Thu, 17 Apr 2014 22:11:33 +0200[/code]
Donc ça corrige 3 failles (CVE-2014-0076, CVE-2014-0160 et CVE-2010-5298) et ça améliore les propositions de services à relancer pour correctement prendre en compte la nouvelle version. Il faut s’attendre à quelques mises à jours d’OpenSSL dans les prochaines semaines/mois, il y a actuellement pas mal de monde qui y jette un œil. C’est un effet de la faille.

Je présume que GnuTLS va un peu gagner en popularité (ainsi que d’autres bibliothèques moins connues).

Et même lancer de nouveau fork :
linuxfr.org/users/anaseto/journa … -d-openssl

[quote=“Mimoza”]Et même lancer de nouveau fork :
linuxfr.org/users/anaseto/journa … -d-openssl[/quote]
De ce que j’ai compris (je peux me planter et ça a pu évoluer), c’est pas encore un fork. Ils proposent des patches et voient si ça va être intégré.

À noter qu’ils sont 4 à développer openssl…

Merci pour l’info.
Je n’avais jamais fait gaffe aux changelogs sans parler de zless.
Linux c’est cool quand même.

Aucun des mes serveurs n’est en wheezy à ce jour, la old-stable a du bon des fois :slightly_smiling:

En plus oldstable voit sa retraite repoussée.

https://www.debian.org/News/2014/20140424

Pour les moins anglophobes d’entre nous (humour!), une série de diapos de Bob Beck, un dev OpenBSD, qui présente LibreSSL à la conférence BSDCan 2014

openbsd.org/papers/bsdcan14- … index.html

rien que pour les images ça vaut le coup :stuck_out_tongue:

la même chose, en vidéo
youtube.com/watch?v=GnBbhXBDmwU
(pour les moins anti-youtube et anglophobes d’entre nous)

Merci agentsteel. Excellent ! Mes passages préférés : l’aléatoire, c’est le boulot du système d’exploitation ; La fondation Linux n’a pas répondu aux sollicitations. Conclusions : difficile de continuer de “faire confiance” au monde Linux ; donnez à la fondation OpenBSD !

http://www.openbsdfoundation.org/donations.html

:slightly_smiling: Vivement Debian GNU/kOpenBSD.