Données en clair dans openssh ?
Le
Steve
Salut la liste,
Pour info :
http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
On a des raisons de s'inquiéter à votre avis ?
--
Steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Pour info :
http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
On a des raisons de s'inquiéter à votre avis ?
--
Steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Hash: SHA1
Steve a écrit :
Le problème à l'air pris au sérieux [1]. À la lecture de l'annonce, je
viens de modifier mes fichiers /etc/ssh/sshd_config en ajoutant les
lignes suivantes :
# http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
[1] http://bugs.debian.org/506115
Amicalement
David
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkkla3kACgkQ18/WetbTC/qjhQCgk8BSI69WFA/53nd5MlZxjtfH
BkYAoIaW2cC+EzfskWBj/WV76meLgsLE
=aiRP
-----END PGP SIGNATURE-----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
personne ...
Tu sors ça d'où ?
Je ne l'avais pas vu passé. Merci
De même
Steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Hash: SHA1
Steve a écrit :
[...]
De ton lien [0] ;) (je copie le passage intéressant en fin de message),
en bref, préconiser le mode de chiffrement ctr au cbc devrait
solutionner le problème. J'ai hésité à laisser arcfour, mais le lien
commercial [1] proposé dans l'article original [2] m'a suggéré de le
laisser (passage recopié en fin de message).
Je ne suis pas expert en sécurité, j'ai posté ma recette sur la liste
autant pour la valider qu'en discuter...
[0] http://www.secuobs.com/news/15112008-openssh_cbc_ctr_aes_cpni.shtml
[1] http://www.ssh.com/company/news/article/953/
[2] http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txt
Amicalement
David
La solution à ce problème serait déjà existante puisqu’elle consisterait
uniquement à configurer le serveur de manière à ce qu’il privilégie
l’utilisation d’un mode de chiffrement CTR (Integer Counter Mode) par
flux basé sur un compteur plutôt que l’utilisation standard du mode de
chiffrement CBC (Cipher Block Chaining) basé sur l’enchainement des blocs.
An immediate workaround is to refrain from using CBC mode block ciphers
in Secure Shell (SSH) sessions. In practice this is achievable with the
SSH Tectia products by utilizing either CryptiCore or Arcfour encryption
algorithms.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkklc5wACgkQ18/WetbTC/rkdQCfeDgja/3Dzsu18nKczl+v0zDP
9aYAnR3lY8TI9GQSxGT6vNcnFORYYeH7
=0OYx
-----END PGP SIGNATURE-----
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Ok, j'ai dû lire trop vite car je ne l'avais pas vu. Merci
Pareil. Attendons les experts alors.
--
Steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Bonjour,
| Je ne suis pas expert en sécurité, j'ai posté ma recette sur la liste
| autant pour la valider qu'en discuter...
Apparemment la recette a été validée sur le rapport de bogue :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugP6115#22
Merci pour l'info.
| David
Seb
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
âjour,
Je ne dirais pas que ce nâétait pas un problème, mâ enfin
quand on lit :
« an attack that can recover 14 bits of plaintext with a
success probability of 2^-14, though we suspect this
underestimates the work required by a practical attack. »
(traduction rapide :
« une attaque qui peut découvrir 14 bits de texte avec une
probabilité de succès de 2â»Â¹â´, bien que nous suspections
que cela sous-estimes le travail requis pour une attaque
réelle. »)
donc :
â seulement 14 bits de données en clair, même pas 2 octet s ;
â une proba de 2â»Â¹â´, soit une chance sur 16384  ;
â proba en théorie, une procédure dâattaque rà ©elle serait
encore plus difficile ;
on se dit que ce nâest pas super-grave quand même, surtout
quâajouter (oui, je le remets, ça enfonce le clou :o)
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc
dans son /etc/ssh/sshd_config suffit à éviter le risque.
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact