Version Openssl et Puttygen Windows

Le
West
Salut,

Apres une mise à jour via aptitude sur ma Etch + Reboot.

J'ai vérifié la version openssl, j'ai toujours :

#openssl version
OpenSSL 0.9.8c 05 Sep 2006

Est-ce normal ?
Comment m'assurer que j'ai bien la version corrigée ?

Derniere question, j'ai réalisé mes clef privé pour l'authentification à
ssh via Puttygen, mais sur Windows ! Confirmez vous que ces clefs sont
correct ?

Je compte malgré tous les changés, mais je me demandais si je devais le
faire d'urgence ou pas.


Merci de vos réponses

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
David Prévot
Le #9667721
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

West a écrit :
Salut,

Apres une mise à jour via aptitude sur ma Etch + Reboot.



Le reboot ne sert à rien si tu ne changes pas le noyau...

J'ai vérifié la version openssl, j'ai toujours :

#openssl version
OpenSSL 0.9.8c 05 Sep 2006



Je suis surpris, comment obtiens-tu la date ? D'après le changelog de
Debian, la version 0.9.8c ne semble pas avoir été publiée (sous Debian),
et à cette date, c'est la version 0.9.8b-3 qui faisait son apparition
dans Sid (juste avant l'introduction de la vulnérabilité soit dit en
passant ;).

Est-ce normal ?
Comment m'assurer que j'ai bien la version corrigée ?



Tu va faire un tour sur l'annonce de sécurité [1] et tu t'aperçois que
le problème récemment détecté est corrigé avec la version 0.9.8c-4etch3
publiée le 13 mai 2008. Donc a priori tu as un problème, mais envoie le
contenu de /etc/apt/sources.list et le retour de la commande suivante :

$ apt-cache policy openssl

afin que l'on puisse en juger sur pièce.

[1] http://www.debian.org/security/2008/dsa-1571

Derniere question, j'ai réalisé mes clef privé pour l'authentification à
ssh via Puttygen, mais sur Windows ! Confirmez vous que ces clefs sont
correct ?



Il y a des chances, vérifie les avec openssl-vulnkey pour t'en persuader...

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFIPUMz18/WetbTC/oRArhcAJ41+grZK2OpAfmgLGRqo2xc702aCQCfcm39
jGdyC8pJtHwqG8MfrMRBD4Q =biH1
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
West
Le #9667651
David Prévot a écrit :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

West a écrit :
Salut,

Apres une mise à jour via aptitude sur ma Etch + Reboot.



Le reboot ne sert à rien si tu ne changes pas le noyau...

J'ai vérifié la version openssl, j'ai toujours :

#openssl version
OpenSSL 0.9.8c 05 Sep 2006



Je suis surpris, comment obtiens-tu la date ? D'après le changelog de
Debian, la version 0.9.8c ne semble pas avoir été publiée (sous Debian),
et à cette date, c'est la version 0.9.8b-3 qui faisait son apparition
dans Sid (juste avant l'introduction de la vulnérabilité soit dit en
passant ;).

Est-ce normal ?
Comment m'assurer que j'ai bien la version corrigée ?



Tu va faire un tour sur l'annonce de sécurité [1] et tu t'aperçois que
le problème récemment détecté est corrigé avec la version 0.9.8c-4etch3
publiée le 13 mai 2008. Donc a priori tu as un problème, mais envoie le
contenu de /etc/apt/sources.list et le retour de la commande suivante :

$ apt-cache policy openssl

afin que l'on puisse en juger sur pièce.

[1] http://www.debian.org/security/2008/dsa-1571

Derniere question, j'ai réalisé mes clef privé pour l'authentification à
ssh via Puttygen, mais sur Windows ! Confirmez vous que ces clefs sont
correct ?



Il y a des chances, vérifie les avec openssl-vulnkey pour t'en persuader...

Amicalement

David

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFIPUMz18/WetbTC/oRArhcAJ41+grZK2OpAfmgLGRqo2xc702aCQCfcm39
jGdyC8pJtHwqG8MfrMRBD4Q > =biH1
-----END PGP SIGNATURE-----




Oui je m'en suis douter pour le reboot, mes constatant que j'avais pas
0.9.8c-4Etch, j'ai rebooté, mais sans effet puisque en lancnat cette
commande:
# openssl version

j'obtiens:
OpenSSL 0.9.8c 05 Sep 2006

et non pas pas 0.9.8c-4, c'est pour cette raison que je suis venu ici.


Le resultat de apt-cache:

# apt-cache policy openssl
openssl:
Installed: 0.9.8c-4etch3
Candidate: 0.9.8c-4etch3
Version table:
*** 0.9.8c-4etch3 0
500 http://security.debian.org etch/updates/main Packages
100 /var/lib/dpkg/status
0.9.8c-4etch1 0
500 ftp://mir1.ovh.net etch/main Packages


Pourtant j'ai toujours 0.9.8cavec "openssl version".
Bien, déjà le "Installed: 0.9.8c-4etch3" me ressure "un peu".

J'ai confirmé avec :

# dpkg -l openssl

||/ Name Version Description
+++-==============-==============-=========================================== ii openssl 0.9.8c-4etch3 Secure Socket Layer (SSL) binary and
related

Maintenant pourquoi il m'affiche cette version j'en sais rien. Pourriez
faire un test et me dire si vous avez le meme résultat parceque je ne
suis que tres peu rassuré.

# openssl version

Concernant la clef générée via puttygen windows, javais deja fais le
test avec openssl-vulkey apres avoir mis à jour openssh et régénérer les
clefs publiques et privées du serveur, mais je n'ai pas (encore) changé
ma clef privée générée depuis putty (win) qui me permet d'ailleurs de me
connecter au serveur sans mot de passe.
Il a rien détecté, j'ai également réalisé un test avec dowkd.pl, lui
aussi n'a rien détecté. Mais je compte tout de meme tout changé (pas
dans l'urgence) d'ici la semaine prochaine.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
David Prévot
Le #9667641
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

West a écrit :
# openssl version



j'obtiens:
OpenSSL 0.9.8c 05 Sep 2006



et non pas pas 0.9.8c-4, c'est pour cette raison que je suis venu ici.




Le resultat de apt-cache:



# apt-cache policy openssl
openssl:
Installed: 0.9.8c-4etch3



[...]

Ta première commande est le résultat d'une commande « interne » à
openssl, il indique que la version d'openssl qui est distribué dans
Debian est basée sur la version 0.9.8c, c'est tout. La seconde commande
t'a permis de vérifier quel est la version du paquet Debian installé sur
ton système, donc maintenant c'est bon, tu peux aller te rendormir
tranquille ;).

Amicalement

David


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFIPWtE18/WetbTC/oRAq+dAJ9orc+Zd4W9bcHVCVlo3fAlu00ODgCeLVgs
csf9HejPoJAXhJrR+aQJnCE htz
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme