Faille "Heartbleed" d'Openssl
Le
Stéphane GARGOLY

Bonjour à tous les utilisateurs et développeurs de Debian :
En consultant la page Next INpact (ex-"PC INpact")
http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit=
e-web-sites-ferment.htm
, il semble qu'il y a un problème de sécurité avec OpenSSL (versions
1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions
Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
la version 1.0.2~beta1-1) de notre distribution.
D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de
sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. =
Je
compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en
profite de l'occasion pour installer le client IRC 'konservation' pour
KDE).
Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
Unstable/Sid) ne semblent pas être concernées par ce problème.
Pour ceux qui veulent savoir à propos du paquet 'openssl', je vous
donne la page du résultat de recherche (toutes versions confondues) :
https://packages.debian.org/search?keywords=openssl&searchon=names&suit=
e=all§ion=all
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un préc=
édent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
années ? o:-)
Cordialement et à bientôt,
Stéphane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAAqHXE7-g+vZ7=E+Ubt97WbcXiy=LXXBUr0aqaO3ßQCbFgbw@mail.gmail.com
En consultant la page Next INpact (ex-"PC INpact")
http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit=
e-web-sites-ferment.htm
, il semble qu'il y a un problème de sécurité avec OpenSSL (versions
1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions
Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
la version 1.0.2~beta1-1) de notre distribution.
D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de
sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. =
Je
compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en
profite de l'occasion pour installer le client IRC 'konservation' pour
KDE).
Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
Unstable/Sid) ne semblent pas être concernées par ce problème.
Pour ceux qui veulent savoir à propos du paquet 'openssl', je vous
donne la page du résultat de recherche (toutes versions confondues) :
https://packages.debian.org/search?keywords=openssl&searchon=names&suit=
e=all§ion=all
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un préc=
édent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
années ? o:-)
Cordialement et à bientôt,
Stéphane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAAqHXE7-g+vZ7=E+Ubt97WbcXiy=LXXBUr0aqaO3ßQCbFgbw@mail.gmail.com
Stéphane GARGOLY
Et tu t'attendais à QUOI, venant d'une "organisation"
US?? à des Bisounours sans aucune faille décelable??????
--
<OpenSebou> tfaçons chez moi y'a tout qui est libre :D
<OpenSebou> Mon OS est libre
<OpenSebou> mes drivers sont libres
<OpenSebou> mes applis sont libres
<Serialtueur> Ta copine est libre
<OpenSebou> connard
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Je suis sous Jessie et je suis concerné par la faille de sécurité ,
ayant la version 1.0.1f d'OpenSSL.
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...j'ai demandé à droite à gauche e t on
m'a dit qu'il fallait pour l'instant chercher l'update dans les dépôt s
de Sid.
J'ai essayé , ça a pas marché ... je vais donc attendre...
--
RHATAY Sami
IUT Vannes - INFO1
--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iQEcBAEBAgAGBQJTRGaHAAoJEBLUzqwlSftoFeQH/0yRKrsLopdU3Z8IcExpo29F
PeKSIvjfQe6S3D/i/ZP4drWAfuD2snw5QoBNXEBCIZM9CwrZAQfJCgM1Riro9JF+
JQCCxLDNsfpYABe6AbL8382insFzC3Qtuwbq7LEFkVr2sZNqH4OVBdyM2AJztMOf
k+11UUdCv46B5LnbXDWjClX8tKlNgHQFejSnd5MhOFfHe+MO9avdKpjKcN59seiq
GFnMUZjdQhTdkTPhq4EprfmFW8pnvxdTGX3XuIRmVDZISyr8HMfuZcz/EtR2Y7MM
jc0i0un+knNmdGgv89vvKg84RRy3oIlVFY7LoiKHZ800VRwctEm1bPUQu1jgdy4 =wGMn
-----END PGP SIGNATURE-----
--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Le 08/04/2014 23:01, Stéphane GARGOLY a écrit :
L'équipe de sécurité a publié dans la nuit un bulletin d'alerte de
sécurité que je vous invite à consulter (comme toutes les autres alertes
de sécurité, d'ailleurs).
Voici le lien
https://www.debian.org/security/2014/dsa-2896
Bien cordialement
jipege
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
RHATAY Sami a message of 52 lines which said:
Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Stéphane GARGOLY a message of 42 lines which said:
Il vaut mieux consulter les DSA :-)
Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060
La mise à jour est nécessaire mais pas suffisante. Il faut aussi :
- invalider les sessions (la faille permet de lire les cookies)
- changer les mots de passe (la faille permet de lire un htpasswd en
mémoire)
- et sans doute changer les clés TLS (pas uniquement re-signer les
certificats), la faille pouvant permettre de lire les clés privées.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Ou installer le paquet d'instable au moment de l'alerte (c'estce que j'ai fait).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Je me rappelle d'un gros problème sur openssh il y a quelques années
mais pour openssl je ne me rappelle pas.
--
Francois Mescam Tel:+33 6 16 05 77 61
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Francois Mescam a message of 19 lines which said:
:-D
http://www.debian.org/security/2008/dsa-1571
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Openssh se base sur OpenSSL
:-D
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Bonjour
La faille a été corrigée pour testing ce matin, 9 avril alors que le
correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à
comprendre pourquoi la correction de cette faille met autant de temps à
remonter de Sid à Testing. Il semble que les corrections de sécurité
soient traitées comme de simples bugs chez Debian, ce n'est pas admissible.
Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec
correction immédiate au même moment dans toutes les versions Debian
quand il s'agit de sécurité.
--
Maderios
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/