Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Openssl, faille de sécurité !

F50

Salut,

L'article :

Ici

Shamayo

Apparemment, les versions 1.0.1 à 1.0.1f (inclus) sont vulnérables, les versions 1.0.1g, 1.0.0 et 0.9.8.

Je suis en version 1.0.1e sur ma debian wheezy, il faut obligatoirement recompiler à la main le logiciel ?

F50

Je ne saurais te dire, ici j'ai :

OpenSSL 1.0.1 14 Mar 2012

Je ne sais pas à quoi correspond cette version mais il y a une màj hier d'openssl, serait régler ?

P.S. Il semble que debian/buntu se sont mis à jour d'après les commentaires de ton liens.

Shamayo

Oui, j'ai aussi mis à jour openssl hier soir, mais ça devait être pour la 1.0.1e du coup.
Je n'ai pas de nouvelles mises à jours de proposées avec un

#aptitude update

Edit :

commentaire sur korben.info a écritSur debian:
--------------
la version 1.0.1e a été corrigé!
Pour vérifier si vous avez la dernière version:
dpkg -s openssl | grep Version

Et vérifier que vous êtes bien au moins à la version 1.0.1e-2+deb7u5.
Source : Debian Security

Si ce n'est pas le cas mettez à jour vos paquets.

Sur Raspbian
-----------------
A priori ça n'a pas été mis à jour (Version: 1.0.1e-2+rvt+deb7u4)

Je n'avais pas compris, à priori, il y a eu un update de la version 1.0.1e sur debian, mais pas de changements de versions, ça doit être ce que j'ai eu hier. (j'ai la version: 1.0.1e-2+deb7u6)
Je regarderai sur Debian Security lorsque j'aurai quelques minutes.

Faut-il refaire toutes les clés SSH, certificats SSL et autre ?

F50

Shamayo a écritFaut-il refaire toutes les clés SSH, certificats SSL et autre ?

J'ai bien peur que OUI.

Shamayo

Aie...
Si c'est le cas, ça va être rigolo :/
Je ne sais même pas toutes les applications qui utilisent SSL donc les certificats à changer, une idée pour trouver ça ? J'ai vu passer la liste des services à redémarrer mais je ne l'ai pas notée.

F50

Il semble y avoir des directives sur le site debian dans ton lien Korben.

Shamayo

fcn50 a écritOpenSSL 1.0.1 14 Mar 2012

C'est marrant, ma version est du 11/02/2013. Tu as quelle distribution/version ?

lilp

Bonjour, je suis sous Ubuntu 12.04 avec OpenSSL version : 1.0.1-4ubuntu5.11
La maj bug pour le moment "délai de connexion dépassé" le site répond avec un temps assez important, mais google répond rapidement.
Est-ce normal?
Sinon comment compiler openssl? (ps : je n'ai jamais compiler avant)

F50

Shamayo a écritC'est marrant, ma version est du 11/02/2013. Tu as quelle distribution/version ?

buntu 12.04 LTS server + Xfce. Ouais, je sais pas pourquoi c'est du 2012 ?

@lilp : Chez moi ça fonctionne mais peut-être que ça dépend des sites ? Et bon, là c'est le foutoir, une telle faille c'est la guerre pour les serveurs.

lilp

Bon grosse connerie (désolé pour le langage de ma part), j'était sous une station virtuelle, j'ai changer la carte réseau et les MAJ sont passé.
Je suis donc maintenant en version : 1.0.1-4ubuntu5.12.
Qui apparemment est une version corrigée.
Pas eu besoin de rééditer mes certificats, mes sites sont toujours disponibles...

Shamayo

Oui, d'après Tux Planet, la version 1.0.1-4ubuntu5.12 est corrigée.

fcn50 a écritbuntu 12.04 LTS server + Xfce. Ouais, je sais pas pourquoi c'est du 2012 ?

Tu as les bons dépôts ?

lilp a écritPas eu besoin de rééditer mes certificats, mes sites sont toujours disponibles...

Ce n'est pas le fait que les sites marchent ou ne marchent pas, c'est le fait que quelqu'un a pu récupérer les certificats de tes sites et peut se faire passer par toi auprès de tes utilisateurs/des postes clients. Le pirate peut donc récupérer les données et mots de passes.

lilp

Ok, je vais donc réediter tout de même les certificats alors. Il faut supprimer les anciens pour en créer des nouveaux j'imagine?

Shamayo

Tu peux en créer de nouveaux, mais il faudra indiquer dans tous tes fichiers de confs les nouveaux emplacements des certificats. Sinon, je pense que tu peux les supprimer et en refaire au même endroits.

Je ne suis pas sur de ce que dis, il vaut mieux attendre la confirmation de quelqu'un d'autre !

cris22

Bonjour

Cela concerne qui, les serveurs, les OS, les pc de bureaux ?

Je suis sur un pc de bureau, si je tape openSSL en console la réponse est : OpenSSL 1.0.1 14 mar 2012.

J'ai beau faire une MàJ, c'est toujours cette version qui apparaît.

Suis-je concerné et si oui comment faire une MàJ

Merci

F50

J'ai bien la 1.0.1-4ubuntu5.12 et c'est bel et bien : OpenSSL 1.0.1 14 Mar 2012.

Je crois qu'il est prudent de changer les mdp de ses sites fréquentés, surtout si des achats/paiements peuvent être fait dessus.

@ chris22, Tu as la version (bonne) rectifiée.

Shamayo

cris22 a écritBonjour
Cela concerne qui, les serveurs, les OS, les pc de bureaux ?

La faille concerne les serveurs.
Mais du coup, les clients qui se connectent sur un serveur via SSL peuvent être attaqués aussi

cris22

Merci pour vos précisions

Il est donc impératif de changer tous nos MP ?

q;rpro

Moi je suis sous ubuntu 14.04 beta final
et quand je tape openssl dans le terminal ça donne
OpenSSL 1.0.1f 6 Jan 2014
donc j'espere que je suis pas concerné 😛

grandtoubab

Salut,
les versions correctives:
The problem can be corrected by updating your system to the following package version:

Ubuntu 13.10:
libssl1.0.0 1.0.1e-3ubuntu1.2

Ubuntu 12.10:
libssl1.0.0 1.0.1c-3ubuntu2.7

Ubuntu 12.04 LTS:
libssl1.0.0 1.0.1-4ubuntu5.12

http://www.ubuntu.com/usn/usn-2165-1/

Page suivante »