Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-04-2014 09:55:08

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Faille de sécurité OpenSSL

Une bonne grosse faille de sécurité a été découverte dans OpenSSL.
Deux articles détailles le problème ici:
http://linuxfr.org/news/nouvelle-vulner … on-openssl
http://www.pcinpact.com/news/86934-open … erment.htm

Cela concerne toutes les versions de la 1.0.1 à 1.0.1f, ainsi que la 1.0.2 bêta. Les moutures précédentes de la branche 1.0.0 et 0.9.8 ne sont pas concernées.


Donc:

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)



Actuellement, il y a une mise jour pour unstable et testing, elle ne devrait pas tarder à arriver dans stable.
http://packages.qa.debian.org/o/openssl.html
Il faut donc la version 1.0.1g pour être tranquille et relancer le serveur après la mise à jour.
La commande:

apt-cache policy openssl


devrait vous indiquer quelle version est installé sur votre machine, et quelle version est disponible dans les dépôts (candidat).

openssl:
  Installé : 1.0.1g-1
  Candidat : 1.0.1g-1
 Table de version :
 *** 1.0.1g-1 0
        500 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
        100 /var/lib/dpkg/status



La situation est critique, certains sites internet ont préféré fermer le temps de mettre à jour.

Hors ligne

#2 09-04-2014 10:11:43

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

En bref, cette faille permettait dans le pire des cas à l'attaquant d'obtenir la clé privée du serveur, ce qui lui permettrait alors de déchiffrer toutes les communications « sécurisées » des utilisateurs avec lui (vous comprenez pourquoi les sites de banques ont pu interrompre leurs services le temps de corriger le problème).

Autrement dit, tous les sites dont le certificat a été compromis doivent installer une version corrigée d'openssl, révoquer leur ancien certificat et en générer un nouveau de confiance.

Et bien sûr, il est impossible de savoir si notre certificat est compromis ou non.

Enjoy smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 09-04-2014 10:18:55

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Ça nous concerne?

Hors ligne

#4 09-04-2014 13:01:39

golgot200
Membre
Lieu : AIN
Distrib. : Debian Jessie
Noyau : Linux debian 3.16.0-4-amd64
(G)UI : MATE
Inscription : 05-08-2007

Re : Faille de sécurité OpenSSL

Maintenant,

Les paquets suivants seront mis à jour :
  libssl1.0.0 libssl1.0.0:i386 openssl
3 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 4 990 ko dans les archives.
Après cette opération, 52,2 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ? O




Open-ssl.png



patrick@debian:~$ apt-cache policy openssl
openssl:
  Installé : 1.0.1e-2+deb7u6
  Candidat : 1.0.1e-2+deb7u6
 Table de version :
 *** 1.0.1e-2+deb7u6 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1e-2+deb7u4 0
        500 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages
patrick@debian:~$

 

Dernière modification par golgot200 (09-04-2014 13:09:25)


L'ultime question ... l'intelligence a besoin de la bêtise pour s'affirmer, la beauté a besoin de la laideur pour resplendir, le courage nait dans la peur, les forts impressionnent au millieu des faibles, mais au final,... qui a donc besoin d'autant de connards ?

Hors ligne

#5 09-04-2014 14:54:11

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

@Kao: eh bien, nous avons fait la mise à jour si tôt que celle-ci était disponible, mais n'avons pas encore renouvelé les certificats.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 09-04-2014 16:36:44

david96
Invité

Re : Faille de sécurité OpenSSL

Yo, je viens de voir la nouvelle sur la liste April.org.

Un pad (texte collaboratif) a été ouvert :
http://pad.april.org/p/OpenSSL

#7 09-04-2014 17:15:55

david96
Invité

Re : Faille de sécurité OpenSSL

La nouvelle doit se propager vite, regardez le bandeau en entête :

Due to the ‘Heartbleed’ security vulnerability, we'll be logging everyone out of their accounts later on today. Please check that you know your sign-in details, you'll need them to access your account. Find out more on our blog.


1397056442.jpg

upgrade                                                                  17:36
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'
état... Fait
Les paquets suivants ont été conservés :
  db4.8-util
Les paquets suivants seront mis à jour :
  libssl1.0.0 openssh-client openssh-server openssl ssh
5 mis à jour, 0 nouvellement installés, 0 à enlever et 1 non mis à jour.
Il est nécessaire de prendre 5 116 ko dans les archives.
Après cette opération, 127 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ?

Dernière modification par Invité-2 (09-04-2014 17:37:18)

#8 09-04-2014 17:28:17

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

Erf, ils n'en ratent pas une pour faire de la récup'
Décidément, j'ai du mal avec les fanboys…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#9 09-04-2014 17:47:53

david96
Invité

Re : Faille de sécurité OpenSSL

C'est pour un ami (Marcus) https://soundcloud.com/djsupermarkt. tongue

Sinon, pour en revenir à nos moutons :
1397058300.jpg

Dernière modification par Invité-2 (09-04-2014 18:05:32)

#10 09-04-2014 18:24:54

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

Ça va, vous n'allez pas tous poster les écrans de configuration, tout le monde va les voir smile

@david: ne pas oublier de relancer apache2…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#11 09-04-2014 18:48:24

david96
Invité

Re : Faille de sécurité OpenSSL

Merci du conseils, je le ferais ce soir, car là y'a du monde sur mon site principal tongue

#12 09-04-2014 23:29:10

david96
Invité

Re : Faille de sécurité OpenSSL

kao a écrit :

Ça nous concerne?


All good, debian-facile.org seems fixed or unaffected!


http://filippo.io/Heartbleed/#debian-facile.org smile

#13 10-04-2014 01:48:21

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Faille de sécurité OpenSSL

kao a écrit :

Actuellement, il y a une mise jour pour unstable et testing, elle ne devrait pas tarder à arriver dans stable.
http://packages.qa.debian.org/o/openssl.html
Il faut donc la version 1.0.1g pour être tranquille et relancer le serveur après la mise à jour.


La mise à jour était déjà en stable au moment où tu as posté ton message wink
(en tous cas au moins sur les serveurs ftp2.fr.debian.org)


Jouer sous Debian ? Facile !

Hors ligne

#14 10-04-2014 03:22:35

david96
Invité

Re : Faille de sécurité OpenSSL

Bien que cette faille date de 2011, dès qu'elle a été aperçue (par un salarié de Google), la réactivité a été exemplaire smile

#15 10-04-2014 11:07:15

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

En même temps, c'est une faille gigantesque, critique, potentiellement catastrophique. Donc un peu de réactivité, c'est bien smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#16 10-04-2014 11:14:55

david96
Invité

Re : Faille de sécurité OpenSSL

Tout à fixe. cool

#17 10-04-2014 12:56:50

yoshi
Membre
Lieu : Normandie
Distrib. : PCLinuxOS/Antix/Slackware
Noyau : 4.8.12/4.4.10/4.4.32
(G)UI : Plasma5/Fluxbox/KDE4/Trinity
Inscription : 05-03-2014

Re : Faille de sécurité OpenSSL

Pfiou !!! Quel foin ça fait cette faille Heartbleed.
Que de questions posées, et même que d'accusations... Julian Assange le créateur de Wikileaks qui affirme que Debian
est compromis par la NSA...

http://linuxfr.org/news/nouvelle-vulner … on-openssl

http://igurublog.wordpress.com/2014/04/ … y-the-nsa/

http://cyrille-borne.com/post/2014/04/0 … compromise

http://www.pcinpact.com/news/86941-hear … lement.htm

PcLinuxOs KDE Plasma 5.8.4 / Slackware -current KDE 4.14.21 sur workstation bi-processeur AMD Opteron 4234 32 Go DDR-3
antiX 16 rox/fluxbox sur laptop Toshiba Satellite C-660-2D6 Intel core I3 8Go DDR-3
PcLinuxOs Trinity Desktop+Kodi sur media-center HP Intel Celeron 2Go DDR-3

Hors ligne

#18 10-04-2014 13:23:39

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Sur un serveur sous wheezy, je viens de faire un dist-upgrade et j'ai ça pour openssl:

sudo apt-cache policy openssl
openssl:
  Installé : 1.0.1e-2+deb7u6
  Candidat : 1.0.1e-2+deb7u6
Table de version :
     1.0.1g-2 0
         90 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
*** 1.0.1e-2+deb7u6 0
        990 http://security.debian.org/ wheezy/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1e-2+deb7u4 0
        990 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages



La version "g" n'est pas dispo dans les dépôts de wheezy mais dans testing.

Mais comme une install depuis testing ramene libc6 j'hésite à la faire tout de suite.

sudo apt-get -t testing install openssl
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
  libmozjs17d xulrunner-17.0
Veuillez utiliser « apt-get autoremove » pour les supprimer.
Les paquets supplémentaires suivants seront installés :
Lecture des listes de paquets... Fait
  libc6 locales
Paquets suggérés :
  glibc-doc
Les paquets suivants seront mis à jour :
  libc6 locales openssl
3 mis à jour, 0 nouvellement installés, 0 à enlever et 1104 non mis à jour.
Il est nécessaire de prendre 9 391 ko dans les archives.
Après cette opération, 1 687 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ?


Du coup dois je la faire où j'attends que le paquet tombe dans les depôts wheezy?

Hors ligne

#19 10-04-2014 16:57:26

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Faille de sécurité OpenSSL

kao :
Le correctif a été porté dans la version 1.0.1e de Wheezy par l'équipe des mainteneurs Debian.
Je n'ai plus les changelog sous la main malheureusement, tu vas devoir me croire sur parole…

Jouer sous Debian ? Facile !

Hors ligne

#20 10-04-2014 18:02:53

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Faille de sécurité OpenSSL

vv222 a écrit :

kao :
Le correctif a été porté dans la version 1.0.1e de Wheezy par l'équipe des mainteneurs Debian.
Je n'ai plus les changelog sous la main malheureusement, tu vas devoir me croire sur parole…


Moi je me fis à ça pour la modification des paquets,
http://packages.qa.debian.org/o/openssl.html
et comme je ne vois pas de changement sur le paquet wheezy après l'annonce de la faille, je me demande.

Peux être que la précédente a été compilé sans la fonction heartbeat.

Hors ligne

#21 10-04-2014 18:42:05

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Pour le heartbleed, il s'agit de l'annonce de sécurité CVE-2014-0160
La correction apparaît dans le changelog de la version: 1.0.1g-1 et pas avant il me semble.
http://packages.qa.debian.org/o/openssl … 5106Z.html
Donc pour moi il faut vraiment la version g ou la recompiler à la main, j'ai pas trouvé d'autre version dans les changelogs

Hors ligne

#22 10-04-2014 18:48:03

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Faille de sécurité OpenSSL

A y est, trouvé :

dave@HAL9000:~/tmp/openssl-1.0.1e/debian$ head -n18 changelog
openssl (1.0.1e-2+deb7u6) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Enable checking for services that may need to be restarted
  * Update list of services to possibly restart

 -- Salvatore Bonaccorso <carnil@debian.org>  Tue, 08 Apr 2014 10:44:53 +0200

openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Add CVE-2014-0160.patch patch.
    CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.
    A missing bounds check in the handling of the TLS heartbeat extension
    can be used to reveal up to 64k of memory to a connected client or
    server.

 -- Salvatore Bonaccorso <carnil@debian.org>  Mon, 07 Apr 2014 22:26:55 +0200


Jouer sous Debian ? Facile !

Hors ligne

#23 10-04-2014 18:54:31

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Ok cool, à partir de la 1.0.1e-2+deb7u5 c'est bon donc...
Merci pour l'info

Hors ligne

#24 11-04-2014 13:08:49

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 28-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Clubic fournit une liste des sites pour lesquels il est recommandé de changer de mot de passe.
http://pro.clubic.com/it-business/secur … -mots.html

La liste doit être beaucoup plus grande que ça si on applique le principe de précaution.

Hors ligne

#25 11-04-2014 19:49:58

unit
Adhérent(e)
Lieu : Marcq-en-baroeul
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Xfce 4.10
Inscription : 11-03-2010

Re : Faille de sécurité OpenSSL

Peut-on vraiment ce fier sur la liste des sites non affectés ?

Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés.
Confucius.

Hors ligne

Pied de page des forums