J’en doute Debian a sortie la correction quelques heures (~ 4h) après le CVE.
StartSSL ?
J’en doute Debian a sortie la correction quelques heures (~ 4h) après le CVE.[/quote]
Pour mes serveurs persos c’est debian, mais serveur ubuntu pour le boulot, la màj était là lundi.
Ou alors je confonds de nouveau les jours.
[quote=“MisterFreez”]
StartSSL ?[/quote]
C’est ce que je cite plus haut ( startcom ) : 25$ par révocation, pas de certificats multi-domaines ( ou wildcard ) pour le premier niveau, c’est embêtant.
A ma connaissance CA-cert et StartCom sont les 2 seules qui te permettent d’avoir autre chose que de l’auto signé … sinon je pense être passé au travers du dangé vue que mon serveur est encore en Wheezy 
pour une fois qu’être en retard a du bon 
Je vous rassure j’ai prévue de changé tout ça mais j’ai des problème de conf avec OpenSmtpd 
Merci, tu confirmes ce que je pensais déjà.
Va falloir passer au payant bientôt alors…
Tu voulais dire Squeeze, n’est-ce pas ?
Heuu oui, désolé je mélange 
2 articles dans Libe qui résument bien je trouve.
Encore une mise à jour de sécurité (stable) concernant openssl ce matin.
Comment ça se fait?
Montre :
[code]openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high
* Non-maintainer upload by the Security Team.
* Fix CVE-2010-5298: use-after-free race condition.
* Add a versioned dependency from openssl to libssl1.0.0 to a version
that has the fix for CVE-2014-0160 (Closes: #744194).
* Propose restarting prosody on upgrade (Closes: #744871).
* Correctly detect apache2 installations and propose it to be
restarted (Closes: #744141).
* Add more services to be checked for restart.
* Fix a bug where the critical flag for TSA extended key usage is not
always detected, and two other similar cases.
* Add support for 'libraries/restart-without-asking', which allows
services to be restarted automatically without prompting, or
requiring a response instead.
* Fix CVE-2014-0076: "Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack"
(Closes: #742923).
-- Raphael Geissert <geissert@debian.org> Thu, 17 Apr 2014 22:11:33 +0200[/code]
Donc ça corrige 3 failles (CVE-2014-0076, CVE-2014-0160 et CVE-2010-5298) et ça améliore les propositions de services à relancer pour correctement prendre en compte la nouvelle version. Il faut s'attendre à quelques mises à jours d'OpenSSL dans les prochaines semaines/mois, il y a actuellement pas mal de monde qui y jette un œil. C'est un effet de la faille.
Je présume que GnuTLS va un peu gagner en popularité (ainsi que d'autres bibliothèques moins connues).Montre :
[code]openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high
- Non-maintainer upload by the Security Team.
- Fix CVE-2010-5298: use-after-free race condition.
- Add a versioned dependency from openssl to libssl1.0.0 to a version
that has the fix for CVE-2014-0160 (Closes: #744194). - Propose restarting prosody on upgrade (Closes: #744871).
- Correctly detect apache2 installations and propose it to be
restarted (Closes: #744141). - Add more services to be checked for restart.
- Fix a bug where the critical flag for TSA extended key usage is not
always detected, and two other similar cases. - Add support for ‘libraries/restart-without-asking’, which allows
services to be restarted automatically without prompting, or
requiring a response instead. - Fix CVE-2014-0076: “Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack”
(Closes: #742923).
– Raphael Geissert geissert@debian.org Thu, 17 Apr 2014 22:11:33 +0200[/code]
Donc ça corrige 3 failles (CVE-2014-0076, CVE-2014-0160 et CVE-2010-5298) et ça améliore les propositions de services à relancer pour correctement prendre en compte la nouvelle version. Il faut s’attendre à quelques mises à jours d’OpenSSL dans les prochaines semaines/mois, il y a actuellement pas mal de monde qui y jette un œil. C’est un effet de la faille.
Je présume que GnuTLS va un peu gagner en popularité (ainsi que d’autres bibliothèques moins connues).
[quote=“Mimoza”]Et même lancer de nouveau fork :
linuxfr.org/users/anaseto/journa … -d-openssl[/quote]
De ce que j’ai compris (je peux me planter et ça a pu évoluer), c’est pas encore un fork. Ils proposent des patches et voient si ça va être intégré.
À noter qu’ils sont 4 à développer openssl…
Merci pour l’info.
Je n’avais jamais fait gaffe aux changelogs sans parler de zless.
Linux c’est cool quand même.
Aucun des mes serveurs n’est en wheezy à ce jour, la old-stable a du bon des fois 
Pour les moins anglophobes d’entre nous (humour!), une série de diapos de Bob Beck, un dev OpenBSD, qui présente LibreSSL à la conférence BSDCan 2014
openbsd.org/papers/bsdcan14- … index.html
rien que pour les images ça vaut le coup 
la même chose, en vidéo
youtube.com/watch?v=GnBbhXBDmwU
(pour les moins anti-youtube et anglophobes d’entre nous)
Merci agentsteel. Excellent ! Mes passages préférés : l’aléatoire, c’est le boulot du système d’exploitation ; La fondation Linux n’a pas répondu aux sollicitations. Conclusions : difficile de continuer de “faire confiance” au monde Linux ; donnez à la fondation OpenBSD !
http://www.openbsdfoundation.org/donations.html
Vivement Debian GNU/kOpenBSD.
faut arrêter de tomber dans la parano.
Sortie de la première version portable (=qui compile sur les autres OS que OpenBSD) de LibreSSL
prévue pour remplacer OpenSSL sans casser la compatibilité (un peu comme MariaDB remplace MySQL)
Sont taquins chez la fondation OpenSSL…
apparemment ils ont enregistré le nom de domaine “libressh.org” (faites un whois) à priori juste pour faire chier les gars d’OpenBSD et leur LibReSSL 
ou alors pour forker OpenSSH? 
[quote=“agentsteel”]Sont taquins chez la fondation OpenSSL…
apparemment ils ont enregistré le nom de domaine “libressh.org” (faites un whois) à priori juste pour faire chier les gars d’OpenBSD et leur LibReSSL
ou alors pour forker OpenSSH? [/quote]
Après le patent trolling, le domain trolling c’est ça ?