HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

Le
Mathieu Chappuis
Bonsoir,

Toujours à propos de :

http://www.debian.org/security/2008/dsa-1571

"
Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable. This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable
"

J'insiste, mais il n'y a pas que la partie SSH qui est touchée..

Si comme moi vous avez généré des demandes de certificats SSL à par=
tir
d'une version compromise d'open-ssl (debian) vous pouvez vite demander
une regénération complète de vos certificats à votre prestataire,
quand c'est possible, car vos .key ne valent pas clopette..

# openssl-vulnkey monsite.key
Enter pass phrase for monsite.key:
Enter pass phrase for monsite.key:
COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key

Le package n'est pas proposé dans testing : voilà un lien

http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openss=
l-blacklist_0.1-0%7Edebian-1_all.deb


Sinon voir : http://wiki.debian.org/SSLkeys

Bon week-end à tous!!!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean Baptiste FAVRE
Le #9673501
Bonsoir,
Pour être vraiment complet (!), HTTPS n'est pas le seul protocole
concerné. Dès que vous utilisez TLS ou SSL, vous êtes concernés (FTPS,
SMTPS, ...)

En ce qui conerne les impôts, le mieux est de leur poser la question. Je
ne sais pas personnellement ce qu'ils utilisent pour générer leurs
certificats (mais je pencherais pour un dispositif matériel vu la
quantité de certificats gérés)

Mes 2 cents,
JB

antoine de hillerin a écrit :
D ailleurs a ce sujet faut il regenerer le certificat pour les impots ????

Merci d avance!

AH




Le 15 mai 2008 22:14, Mathieu Chappuis

Bonsoir,

Toujours à propos de :

http://www.debian.org/security/2008/dsa-1571

"
Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable. This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable
"

J'insiste, mais il n'y a pas que la partie SSH qui est touchée..

Si comme moi vous avez généré des demandes de certificats SSL à partir
d'une version compromise d'open-ssl (debian) vous pouvez vite demander
une regénération complète de vos certificats à votre prestataire,
quand c'est possible, car vos .key ne valent pas clopette..

# openssl-vulnkey monsite.key
Enter pass phrase for monsite.key:
Enter pass phrase for monsite.key:
COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key

Le package n'est pas proposé dans testing : voilà un lien

http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openssl-blacklist_0.1-0%7Edebian-1_all.deb


Sinon voir : http://wiki.debian.org/SSLkeys

Bon week-end à tous!!!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sylvain Sauvage
Le #9673391
Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST

Bonsoir,



’jour,

Pour être vraiment complet (!), HTTPS n'est pas le seul
protocole concerné. Dès que vous utilisez TLS ou SSL, vous
êtes concernés (FTPS, SMTPS, ...)



Rappelons que, pour ces protocoles, le problème ne se pose que
pour les _serveurs_ (se sont eux qui génèrent le certificat).
Donc si vous avez un .pem pour un de ses services : regéné rer
(cf. tous les liens déjà donnés : des instructions sont données
pour chaque programme).

En ce qui conerne les impôts, le mieux est de leur poser la
question. Je ne sais pas personnellement ce qu'ils utilisent
pour générer leurs certificats (mais je pencherais pour un
dispositif matériel vu la quantité de certificats gérà ©s)



Autrement dit : le certificat est généré par les Imp ôts, donc
le fait que vous ayez utilisé ce certificat sur une Debian ne
devrait poser aucun problème. (Il ne pourrait y avoir de
problème que si les Impôts ont utilisé une Debian touchà ©e pour
ce faire, ce qui est fort peu probable.)

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE
Le #9672181
Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes
excuses.

Re,

Sylvain Sauvage a écrit :
> Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
>> Bonsoir,


>
> ’jour,
>
>> Pour être vraiment complet (!), HTTPS n'est pas le seul
>> protocole concerné. Dès que vous utilisez TLS ou SSL, vous
>> êtes concernés (FTPS, SMTPS, ...)


>
> Rappelons que, pour ces protocoles, le problème ne se pose que
> pour les _serveurs_ (se sont eux qui génèrent le certificat).
> Donc si vous avez un .pem pour un de ses services : regénérer
> (cf. tous les liens déjà donnés : des instructions sont données
> pour chaque programme).
>


Pas d'accord: les certificats clients sont également impactés à partir
du moment où ils ont été générés sur un serveur avec une mauvaise
version d'OpenSSL (cf. les impôts ci-dessous).

En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez
toutes vos clefs et certificats et vous dormirez tranquilles :-)
Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à
gérer et 5 certificats. J'imagine que des structures plus importantes
vont peut-être chercher à optimiser la chose, mais pour information: les
tentatives de connexions sur le port 22 de mon serveur ont explosée
depuis 2 jours. Je reste serein puisqu'il est protégé par du
port-knocking mais tout le monde n'est pas dans mon cas ;-)

>> En ce qui conerne les impôts, le mieux est de leur poser la
>> question. Je ne sais pas personnellement ce qu'ils utilisent
>> pour générer leurs certificats (mais je pencherais pour un
>> dispositif matériel vu la quantité de certificats gérés)


>
> Autrement dit : le certificat est généré par les Impôts, donc
> le fait que vous ayez utilisé ce certificat sur une Debian ne
> devrait poser aucun problème. (Il ne pourrait y avoir de
> problème que si les Impôts ont utilisé une Debian touchée pour
> ce faire, ce qui est fort peu probable.)
>


Plus généralement, si votre certificat est signé par une CA "officielle"
(Verisign and co), le mieux est de prendre contact avec eux.
Si vous avez généré votre certificate request sous Debian ou si leur CA
l'a été, vous avez gagné !

Bon week-end,
JB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #9672121
On Fri, May 16, 2008 at 07:02:26PM +0200,
Jean Baptiste FAVRE a message of 61 lines which said:

Plus généralement, si votre certificat est signé par une CA
"officielle" (Verisign and co), le mieux est de prendre contact avec
eux.



Précisons que la notion de CA officielle ne veut rien dire. Verisign
est plus cher mais n'a rien de plus officiel.

Selon gratuitement les clés des pauvres utilisateurs Debian (il parait que
Thawte le fait aussi).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE
Le #9672101
J'entendais par "officielle" (notez les guillemets) une AC déjà
intégérée das les principaux navigateurs.

Désolé pour mon approximation ;-)
JB


Stephane Bortzmeyer a écrit :
On Fri, May 16, 2008 at 07:02:26PM +0200,
Jean Baptiste FAVRE a message of 61 lines which said:

Plus généralement, si votre certificat est signé par une CA
"officielle" (Verisign and co), le mieux est de prendre contact avec
eux.



Précisons que la notion de CA officielle ne veut rien dire. Verisign
est plus cher mais n'a rien de plus officiel.

Selon gratuitement les clés des pauvres utilisateurs Debian (il parait que
Thawte le fait aussi).




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme