OupSSH

Le
Sylvain Sauvage
’soir,

gros pépin avec openssl (et donc avec openssh) : depuis le
4 mai 2006, les clefs générées ne sont pas assez alÃ=
©atoires.
Gros trou de sécurité, donc.
C’est passé sur la liste sécurité,
http://lists.debian.org/debian-security-announce/2008/msg00152.html
mais tout le monde n’y est peut-être pas abonné alors je =
me
permets de relayer ici.

Ça touche, au moins :
— le serveur ssh, qui génère ses clefs au premier dé=
marrage ;
— les utilisateurs qui ont généré des clefs (ssh-key=
gen) ;
— les certificats de serveurs web (x509, pour https).

Il faudra donc installer la nouvelle version, qui va arriver
sous peu dans les dépôts, virer les clefs (/etc/ssh/*key*
/home/*/.ssh/id_*), regénérer les clefs (dpkg-reconfigure -d low
openssh-server, et ssh-keygen -t dsa, ssh-keygen -t rsa pour
chaque utilisateur) et redistribuer ces clefs là où elles
servent (celles qui ont été copiées dans les fichiers
.ssh/authorized_keys d’autres machines p.ex.).

http://www.debian.org/security/key-rollover/ devrait bientôt
expliquer quels paquets sont touchés et que faire pour chacun.

Un petit programme perl est disponible
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
pour tester ses clefs :
$ perl dowkd.pl host localhost # pour un serveur ssh
$ perl dowkd.pl user # pour tous les utilisateurs
$ perl dowkd.pl help # pour le reste…

Si vous n’avez pas de serveur ssh ou si vous n’avez jamais
utilisé la commande ssh-keygen, il y a très peu de chance (voire
aucune) que cela vous touche/intéresse.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sylvain Sauvage
Le #9674031
Sylvain Sauvage, mardi 13 mai 2008, 22:41:03 CEST

’soir,

gros pépin avec openssl (et donc avec openssh)
[…]



D’autres infos sur http://wiki.debian.org/SSLkeys

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck JONCOURT
Le #9674021
Salut,

On Tue, 13 May 2008 22:53:08 +0200, Sylvain Sauvage
Sylvain Sauvage, mardi 13 mai 2008, 22:41:03 CEST

’soir,

gros pépin avec openssl (et donc avec openssh)
[…]



D’autres infos sur http://wiki.debian.org/SSLkeys



Merci pour l'info,

---
Franck Joncourt
http://www.debian.org/ - http://smhteam.info/wiki/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Steve
Le #9673731
Le 13-05-2008, à 22:56:08 +0200, Franck JONCOURT () a écrit :

Lignes : 30


Salut,

On Tue, 13 May 2008 22:53:08 +0200, Sylvain Sauvage
> Sylvain Sauvage, mardi 13 mai 2008, 22:41:03 CEST
>>
>> ’soir,
>>
>> gros pépin avec openssl (et donc avec openssh)
>>[…]
>
> D’autres infos sur http://wiki.debian.org/SSLkeys

Merci pour l'info,



Un lien très intéressant :
http://metasploit.com/users/hdm/tools/debian-openssl/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme