logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 09-04-2014 08:55:08

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Faille de sécurité OpenSSL

Une bonne grosse faille de sécurité a été découverte dans OpenSSL.
Deux articles détailles le problème ici:
http://linuxfr.org/news/nouvelle-vulner … on-openssl
http://www.pcinpact.com/news/86934-open … erment.htm

Cela concerne toutes les versions de la 1.0.1 à 1.0.1f, ainsi que la 1.0.2 bêta. Les moutures précédentes de la branche 1.0.0 et 0.9.8 ne sont pas concernées.


Donc:

    Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    CentOS 6.5, OpenSSL 1.0.1e-15
    Fedora 18, OpenSSL 1.0.1e-4
    OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
    NetBSD 5.0.2 (OpenSSL 1.0.1e)
    OpenSUSE 12.2 (OpenSSL 1.0.1c)



Actuellement, il y a une mise jour pour unstable et testing, elle ne devrait pas tarder à arriver dans stable.
http://packages.qa.debian.org/o/openssl.html
Il faut donc la version 1.0.1g pour être tranquille et relancer le serveur après la mise à jour.
La commande:

apt-cache policy openssl


devrait vous indiquer quelle version est installé sur votre machine, et quelle version est disponible dans les dépôts (candidat).

openssl:
  Installé : 1.0.1g-1
  Candidat : 1.0.1g-1
 Table de version :
 *** 1.0.1g-1 0
        500 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
        100 /var/lib/dpkg/status



La situation est critique, certains sites internet ont préféré fermer le temps de mettre à jour.

Hors ligne

#2 09-04-2014 09:11:43

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

En bref, cette faille permettait dans le pire des cas à l'attaquant d'obtenir la clé privée du serveur, ce qui lui permettrait alors de déchiffrer toutes les communications « sécurisées » des utilisateurs avec lui (vous comprenez pourquoi les sites de banques ont pu interrompre leurs services le temps de corriger le problème).

Autrement dit, tous les sites dont le certificat a été compromis doivent installer une version corrigée d'openssl, révoquer leur ancien certificat et en générer un nouveau de confiance.

Et bien sûr, il est impossible de savoir si notre certificat est compromis ou non.

Enjoy smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 09-04-2014 09:18:55

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Ça nous concerne?

Hors ligne

#4 09-04-2014 12:01:39

Anonyme
Invité

Re : Faille de sécurité OpenSSL

Maintenant,

Les paquets suivants seront mis à jour :
  libssl1.0.0 libssl1.0.0:i386 openssl
3 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 4 990 ko dans les archives.
Après cette opération, 52,2 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ? O




Open-ssl.png



patrick@debian:~$ apt-cache policy openssl
openssl:
  Installé : 1.0.1e-2+deb7u6
  Candidat : 1.0.1e-2+deb7u6
 Table de version :
 *** 1.0.1e-2+deb7u6 0
        500 http://security.debian.org/ wheezy/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1e-2+deb7u4 0
        500 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages
patrick@debian:~$

 

Dernière modification par Anonyme (09-04-2014 12:09:25)

#5 09-04-2014 13:54:11

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

@Kao: eh bien, nous avons fait la mise à jour si tôt que celle-ci était disponible, mais n'avons pas encore renouvelé les certificats.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#6 09-04-2014 15:36:44

david96
Invité

Re : Faille de sécurité OpenSSL

Yo, je viens de voir la nouvelle sur la liste April.org.

Un pad (texte collaboratif) a été ouvert :
http://pad.april.org/p/OpenSSL

#7 09-04-2014 16:15:55

david96
Invité

Re : Faille de sécurité OpenSSL

La nouvelle doit se propager vite, regardez le bandeau en entête :

Due to the ‘Heartbleed’ security vulnerability, we'll be logging everyone out of their accounts later on today. Please check that you know your sign-in details, you'll need them to access your account. Find out more on our blog.


1397056442.jpg

upgrade                                                                  17:36
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'
état... Fait
Les paquets suivants ont été conservés :
  db4.8-util
Les paquets suivants seront mis à jour :
  libssl1.0.0 openssh-client openssh-server openssl ssh
5 mis à jour, 0 nouvellement installés, 0 à enlever et 1 non mis à jour.
Il est nécessaire de prendre 5 116 ko dans les archives.
Après cette opération, 127 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ?

Dernière modification par Invité-2 (09-04-2014 16:37:18)

#8 09-04-2014 16:28:17

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

Erf, ils n'en ratent pas une pour faire de la récup'
Décidément, j'ai du mal avec les fanboys…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#9 09-04-2014 16:47:53

david96
Invité

Re : Faille de sécurité OpenSSL

C'est pour un ami (Marcus) https://soundcloud.com/djsupermarkt. tongue

Sinon, pour en revenir à nos moutons :
1397058300.jpg

Dernière modification par Invité-2 (09-04-2014 17:05:32)

#10 09-04-2014 17:24:54

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

Ça va, vous n'allez pas tous poster les écrans de configuration, tout le monde va les voir smile

@david: ne pas oublier de relancer apache2…

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#11 09-04-2014 17:48:24

david96
Invité

Re : Faille de sécurité OpenSSL

Merci du conseils, je le ferais ce soir, car là y'a du monde sur mon site principal tongue

#12 09-04-2014 22:29:10

david96
Invité

Re : Faille de sécurité OpenSSL

kao a écrit :

Ça nous concerne?


All good, debian-facile.org seems fixed or unaffected!


http://filippo.io/Heartbleed/#debian-facile.org smile

#13 10-04-2014 00:48:21

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Faille de sécurité OpenSSL

kao a écrit :

Actuellement, il y a une mise jour pour unstable et testing, elle ne devrait pas tarder à arriver dans stable.
http://packages.qa.debian.org/o/openssl.html
Il faut donc la version 1.0.1g pour être tranquille et relancer le serveur après la mise à jour.


La mise à jour était déjà en stable au moment où tu as posté ton message wink
(en tous cas au moins sur les serveurs ftp2.fr.debian.org)


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#14 10-04-2014 02:22:35

david96
Invité

Re : Faille de sécurité OpenSSL

Bien que cette faille date de 2011, dès qu'elle a été aperçue (par un salarié de Google), la réactivité a été exemplaire smile

#15 10-04-2014 10:07:15

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian
Noyau : Dur
(G)UI : gui gui, je zuis un doiseau
Inscription : 07-07-2008
Site Web

Re : Faille de sécurité OpenSSL

En même temps, c'est une faille gigantesque, critique, potentiellement catastrophique. Donc un peu de réactivité, c'est bien smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#16 10-04-2014 10:14:55

david96
Invité

Re : Faille de sécurité OpenSSL

Tout à fixe. cool

#17 10-04-2014 11:56:50

yoshi
Membre
Lieu : Normandie
Distrib. : LMDE 6 Faye
Noyau : 6.6.5-1-liquorix-amd64
(G)UI : Cinnamon 5.8.4
Inscription : 05-03-2014

Re : Faille de sécurité OpenSSL

Pfiou !!! Quel foin ça fait cette faille Heartbleed.
Que de questions posées, et même que d'accusations... Julian Assange le créateur de Wikileaks qui affirme que Debian
est compromis par la NSA...

http://linuxfr.org/news/nouvelle-vulner … on-openssl

http://igurublog.wordpress.com/2014/04/ … y-the-nsa/

http://cyrille-borne.com/post/2014/04/0 … compromise

http://www.pcinpact.com/news/86941-hear … lement.htm

Desktop 1: SKP P21. Gigabyte B550M DS3H. AMD Ryzen 9 3900 @ 3,1 Ghz. Kingston FURY 64 Gb DDR4-3200. Sapphire Radeon Pulse RX 6700 XT 12Gb.
Laptop: Acer Aspire E5-573G. Intel Core i3-4005U @ 1,7 Ghz. Intel Haswell-ULT Integrated Graphics
Desktop 2: HP Compaq 6000 Pro Intel Core2 Quad Q8400 @ 2,6 Ghz. 6Gb ddr3. Geforce GT 710

Hors ligne

#18 10-04-2014 12:23:39

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Sur un serveur sous wheezy, je viens de faire un dist-upgrade et j'ai ça pour openssl:

sudo apt-cache policy openssl
openssl:
  Installé : 1.0.1e-2+deb7u6
  Candidat : 1.0.1e-2+deb7u6
Table de version :
     1.0.1g-2 0
         90 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
*** 1.0.1e-2+deb7u6 0
        990 http://security.debian.org/ wheezy/updates/main amd64 Packages
        100 /var/lib/dpkg/status
     1.0.1e-2+deb7u4 0
        990 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages



La version "g" n'est pas dispo dans les dépôts de wheezy mais dans testing.

Mais comme une install depuis testing ramene libc6 j'hésite à la faire tout de suite.

sudo apt-get -t testing install openssl
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
  libmozjs17d xulrunner-17.0
Veuillez utiliser « apt-get autoremove » pour les supprimer.
Les paquets supplémentaires suivants seront installés :
Lecture des listes de paquets... Fait
  libc6 locales
Paquets suggérés :
  glibc-doc
Les paquets suivants seront mis à jour :
  libc6 locales openssl
3 mis à jour, 0 nouvellement installés, 0 à enlever et 1104 non mis à jour.
Il est nécessaire de prendre 9 391 ko dans les archives.
Après cette opération, 1 687 ko d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer [O/n] ?


Du coup dois je la faire où j'attends que le paquet tombe dans les depôts wheezy?

Hors ligne

#19 10-04-2014 15:57:26

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Faille de sécurité OpenSSL

kao :
Le correctif a été porté dans la version 1.0.1e de Wheezy par l'équipe des mainteneurs Debian.
Je n'ai plus les changelog sous la main malheureusement, tu vas devoir me croire sur parole…

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#20 10-04-2014 17:02:53

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Faille de sécurité OpenSSL

vv222 a écrit :

kao :
Le correctif a été porté dans la version 1.0.1e de Wheezy par l'équipe des mainteneurs Debian.
Je n'ai plus les changelog sous la main malheureusement, tu vas devoir me croire sur parole…


Moi je me fis à ça pour la modification des paquets,
http://packages.qa.debian.org/o/openssl.html
et comme je ne vois pas de changement sur le paquet wheezy après l'annonce de la faille, je me demande.

Peux être que la précédente a été compilé sans la fonction heartbeat.

Hors ligne

#21 10-04-2014 17:42:05

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Pour le heartbleed, il s'agit de l'annonce de sécurité CVE-2014-0160
La correction apparaît dans le changelog de la version: 1.0.1g-1 et pas avant il me semble.
http://packages.qa.debian.org/o/openssl … 5106Z.html
Donc pour moi il faut vraiment la version g ou la recompiler à la main, j'ai pas trouvé d'autre version dans les changelogs

Hors ligne

#22 10-04-2014 17:48:03

vv222
Administrateur
Lieu : Bretagne
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Faille de sécurité OpenSSL

A y est, trouvé :

dave@HAL9000:~/tmp/openssl-1.0.1e/debian$ head -n18 changelog
openssl (1.0.1e-2+deb7u6) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Enable checking for services that may need to be restarted
  * Update list of services to possibly restart

 -- Salvatore Bonaccorso <carnil@debian.org>  Tue, 08 Apr 2014 10:44:53 +0200

openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Add CVE-2014-0160.patch patch.
    CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.
    A missing bounds check in the handling of the TLS heartbeat extension
    can be used to reveal up to 64k of memory to a connected client or
    server.

 -- Salvatore Bonaccorso <carnil@debian.org>  Mon, 07 Apr 2014 22:26:55 +0200


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

Hors ligne

#23 10-04-2014 17:54:31

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Ok cool, à partir de la 1.0.1e-2+deb7u5 c'est bon donc...
Merci pour l'info

Hors ligne

#24 11-04-2014 12:08:49

kao
Modérateur
Distrib. : Testing
Noyau : Linux 4.quelquechose
(G)UI : Gnome 3
Inscription : 27-09-2012
Site Web

Re : Faille de sécurité OpenSSL

Clubic fournit une liste des sites pour lesquels il est recommandé de changer de mot de passe.
http://pro.clubic.com/it-business/secur … -mots.html

La liste doit être beaucoup plus grande que ça si on applique le principe de précaution.

Hors ligne

#25 11-04-2014 18:49:58

unit
Membre
Lieu : Dans le grand nord
Distrib. : Bullseye
Noyau : Linux debian 5.10.0-10-amd64
(G)UI : Xfce 4.16.2
Inscription : 11-03-2010

Re : Faille de sécurité OpenSSL

Peut-on vraiment ce fier sur la liste des sites non affectés ?

Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés.
Confucius.

Hors ligne

Pied de page des forums