OpenSSL corrompu dans Debian et dans les systemes derivés

Le 13 Mai 2008, Debian a annoncé que Luciano Bello a découvert une vulnérabilité intéressante dans le paquet Debian. Le bogue en question a été causé par la suppression de ces lignes dans md_rand.c

MD_Update(&m,buf,j); [ .. ] MD_Update(&m,buf,j); /* purify complains */

Ces lignes ont ete retirées car elles produisaient des avertissements sur l'utilisation de données non initialisées qui étaient liées au paquet OpenSSL lors de l'utilisation des outils Valgrind et Purify.

Un rapport de l'équipe de OpenSSL est disponible ici.

L'impact de tout cela est que toutes les clefs SSL et SSH générées sur les systemes basés sur Debian (Ubuntu, Kubuntu, ...) entre septembre 2006 et le 13 mai 2008 peuvent etre infectées.
Dans le cas des clefs SSL, tous les certificats doivent etre recréees. Tous les adminstrateurs systemes, qui autorisent les utilisateurs a s'authentifier via les clefs publiques, doivent auditer ces clefs pour vérifier qu'elles n'aient pas ete créees sur un systeme vulnerable.

Tous les systemes doivent etre audités dans le cas ou une clef aurait été générée sur un systeme Debian.

Les projets Debian et Ubuntu ont mis a disposition différents outils pour identifier les clefs vulnerables.

Vous pouvez les trouver aux endroits ci-dessous :

- CVE-2008-0166
- BID-29179
- Debian OpenSSL Patch
- Debian OpenSSH Patch
- OpenSSL Key Blacklist
- OpenSSH Key Blacklist
- OpenVPN Key Blacklist
- Hubert Seiwert's Remote Host Key Scanner (v2)

Par efaistos le 15 mai 2008 - 11:45
Ajouter un commentaire

Navigation

Login

Connexion

Recherche

Liens

Sondage

Besoin d'aide ?!

Vos questions concernant Debian ....

Communauté

Documentations

A propos de Debian

Actualités

Utilisateurs en ligne

Il y a actuellement 0 utilisateur et 2 invités en ligne.

Debianworld.org

Primary links