Faille Debian SSL
Par Marc le vendredi 30 mai 2008, 10:53 - Technique - Lien permanent
Bonjour à vous,
Si vous avez un serveur dédié sur lequel vous hébergez des sites, il y a de grandes chances que vous utilisez Debian. Si vous utilisez Ubuntu alors vous utilisez indirectement les paquets Debian.
Une faille de niveau très critique a été découverte il y a presque un mois sur les système Debian et dérivés (Ubuntu, Knoppix, Xandros (EEE PC), ...), cette faille provient du paquet openssl, les certificats SSL servant généralement pour l'hébergement web (SSH, https, ftps, ...) mais pas seulement ils sont aussi utilisé pour les VPN (openVPN)...
Si vous utilisez Ubuntu Desktop vous n'avez pas trop de soucis à vous faire
une petite mise à jour des paquets et c'est bon.
Pour faire simple, un intégrateur de paquet a commenté une ligne de code afin de ne plus avoir de warnings lors de l'installation de certains programmes, vous allez me dire que les warnings c'est important et je suis d'accord avec vous mais hélas le problème n'est pas là. En effet, cette modification qui a eu lieu il y a 2 ans! tout de même entraine un problème lors de la création des clés aléatoires... qui ne sont plus si aléatoire que ça, car elles se basent sur le PID du processus courant qui crée la clé et non un nombre aléatoire, sachant que sous Linux il y a environ 32'000 possibilités pour un PID... Autant dire que les hackers auraient pu s'en donner à coeur joie!
Si vous avez un serveur dédié sur lequel vous hébergez des sites, il y a de grandes chances que vous utilisez Debian. Si vous utilisez Ubuntu alors vous utilisez indirectement les paquets Debian.
Une faille de niveau très critique a été découverte il y a presque un mois sur les système Debian et dérivés (Ubuntu, Knoppix, Xandros (EEE PC), ...), cette faille provient du paquet openssl, les certificats SSL servant généralement pour l'hébergement web (SSH, https, ftps, ...) mais pas seulement ils sont aussi utilisé pour les VPN (openVPN)...Si vous utilisez Ubuntu Desktop vous n'avez pas trop de soucis à vous faire
une petite mise à jour des paquets et c'est bon.Pour faire simple, un intégrateur de paquet a commenté une ligne de code afin de ne plus avoir de warnings lors de l'installation de certains programmes, vous allez me dire que les warnings c'est important et je suis d'accord avec vous mais hélas le problème n'est pas là. En effet, cette modification qui a eu lieu il y a 2 ans! tout de même entraine un problème lors de la création des clés aléatoires... qui ne sont plus si aléatoire que ça, car elles se basent sur le PID du processus courant qui crée la clé et non un nombre aléatoire, sachant que sous Linux il y a environ 32'000 possibilités pour un PID... Autant dire que les hackers auraient pu s'en donner à coeur joie!
Ce problème est bien sûr corrigé, un petit apt-get update && apt-get upgrade permet de télécharger "la bonne" version de la bibliothéque openssl, néanmoins vous devrez supprimer toutes les clés crées précedement pour en regénérer des saines. Tant que vous n'avez pas réalisés ces opérations vous êtes vulnérable!!! Sauf si vous venez de réinstaller votre machine récemment.
Pour ceux qui ne sauraient pas comment faire pour voir si leur clés sont bonnes ou non, voici ce superbe article du wiki Debian, mais en Anglais.