Faille "Heartbleed" d'Openssl

29 réponses
Avatar
Stéphane GARGOLY
Bonjour =E0 tous les utilisateurs et d=E9veloppeurs de Debian :

En consultant la page Next INpact (ex-"PC INpact")
http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit=
e-web-sites-ferment.htm
, il semble qu'il y a un probl=E8me de s=E9curit=E9 avec OpenSSL (versions
1.0.1 =E0 1.0.1f et la 1.0.2 b=EAta) et cela concerne les versions
Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
la version 1.0.2~beta1-1) de notre distribution.

D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise =E0 jour de
s=E9curit=E9 d=E9j=E0 pr=EAte pour les paquets 'openssl' et 'libssl1.0.0'. =
Je
compte, bien s=FBr, appliquer cette mise =E0 jour imm=E9diatement (et j'en
profite de l'occasion pour installer le client IRC 'konservation' pour
KDE).

Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
Unstable/Sid) ne semblent pas =EAtre concern=E9es par ce probl=E8me.

Pour ceux qui veulent savoir =E0 propos du paquet 'openssl', je vous
donne la page du r=E9sultat de recherche (toutes versions confondues) :
https://packages.debian.org/search?keywords=3Dopenssl&searchon=3Dnames&suit=
e=3Dall&section=3Dall

Euh, pour finir, dites-moi : j'ai r=E9v=E9 ou il y a eu d=E9j=E0 un pr=E9c=
=E9dent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
ann=E9es ? o:-)

Cordialement et =E0 bient=F4t,

St=E9phane.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAAqHXE7-g+vZ7=E+Ubt97WbcXiy=LXXBUr0aqaO3=DFQCbFgbw@mail.gmail.com

10 réponses

1 2 3
Avatar
Bzzz
On Tue, 8 Apr 2014 23:01:25 +0200
Stéphane GARGOLY wrote:

Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà   un
précédent avec cet outil (OpenSSL) aussi important et sensible, il
y a des années ? o:-)



Et tu t'attendais à QUOI, venant d'une "organisation"
US?? à des Bisounours sans aucune faille décelable??????

--
<OpenSebou> tfaçons chez moi y'a tout qui est libre :D
<OpenSebou> Mon OS est libre
<OpenSebou> mes drivers sont libres
<OpenSebou> mes applis sont libres
<Serialtueur> Ta copine est libre
<OpenSebou> connard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
RHATAY Sami
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Je suis sous Jessie et je suis concerné par la faille de sécurité ,
ayant la version 1.0.1f d'OpenSSL.

Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...j'ai demandé à droite à gauche e t on
m'a dit qu'il fallait pour l'instant chercher l'update dans les dépôt s
de Sid.

J'ai essayé , ça a pas marché ... je vais donc attendre...

--
RHATAY Sami
IUT Vannes - INFO1


--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTRGaHAAoJEBLUzqwlSftoFeQH/0yRKrsLopdU3Z8IcExpo29F
PeKSIvjfQe6S3D/i/ZP4drWAfuD2snw5QoBNXEBCIZM9CwrZAQfJCgM1Riro9JF+
JQCCxLDNsfpYABe6AbL8382insFzC3Qtuwbq7LEFkVr2sZNqH4OVBdyM2AJztMOf
k+11UUdCv46B5LnbXDWjClX8tKlNgHQFejSnd5MhOFfHe+MO9avdKpjKcN59seiq
GFnMUZjdQhTdkTPhq4EprfmFW8pnvxdTGX3XuIRmVDZISyr8HMfuZcz/EtR2Y7MM
jc0i0un+knNmdGgv89vvKg84RRy3oIlVFY7LoiKHZ800VRwctEm1bPUQu1jgdy4 =wGMn
-----END PGP SIGNATURE-----

--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
jean-pierre giraud
Bonjour,

Le 08/04/2014 23:01, Stéphane GARGOLY a écrit :
Bonjour à tous les utilisateurs et développeurs de Debian :

En consultant la page Next INpact (ex-"PC INpact")
http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm
, il semble qu'il y a un problème de sécurité avec OpenSSL (versions
1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions
Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
la version 1.0.2~beta1-1) de notre distribution.

D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de
sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. Je
compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en
profite de l'occasion pour installer le client IRC 'konservation' pour
KDE).

Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
Unstable/Sid) ne semblent pas être concernées par ce problème.

Pour ceux qui veulent savoir à propos du paquet 'openssl', je vous
donne la page du résultat de recherche (toutes versions confondues) :
https://packages.debian.org/search?keywords=openssl&searchon=names&suite=all&section=all



L'équipe de sécurité a publié dans la nuit un bulletin d'alerte de
sécurité que je vous invite à consulter (comme toutes les autres alertes
de sécurité, d'ailleurs).
Voici le lien
https://www.debian.org/security/2014/dsa-2896


Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
années ? o:-)

Cordialement et à bientôt,

Stéphane.



Bien cordialement

jipege

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Tue, Apr 08, 2014 at 11:13:43PM +0200,
RHATAY Sami wrote
a message of 52 lines which said:

Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...



Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Tue, Apr 08, 2014 at 11:01:25PM +0200,
Stéphane GARGOLY wrote
a message of 42 lines which said:

En consultant la page Next INpact (ex-"PC INpact")



Il vaut mieux consulter les DSA :-)

Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060

La mise à jour est nécessaire mais pas suffisante. Il faut aussi :

- invalider les sessions (la faille permet de lire les cookies)
- changer les mots de passe (la faille permet de lire un htpasswd en
mémoire)
- et sans doute changer les clés TLS (pas uniquement re-signer les
certificats), la faille pouvant permettre de lire les clés privées.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Erwan David
On Wed, Apr 09, 2014 at 09:39:53AM CEST, Stephane Bortzmeyer said:
On Tue, Apr 08, 2014 at 11:13:43PM +0200,
RHATAY Sami wrote
a message of 52 lines which said:

> Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
> de mise à jour en vue pour moi...

Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".



Ou installer le paquet d'instable au moment de l'alerte (c'estce que j'ai fait).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Francois Mescam
On 08/04/2014 23:01, Stéphane GARGOLY wrote:
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
années ? o:-)



Je me rappelle d'un gros problème sur openssh il y a quelques années
mais pour openssl je ne me rappelle pas.

--
Francois Mescam Tel:+33 6 16 05 77 61

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Wed, Apr 09, 2014 at 10:29:45AM +0200,
Francois Mescam wrote
a message of 19 lines which said:

pour openssl je ne me rappelle pas.



:-D

http://www.debian.org/security/2008/dsa-1571

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
Johnny B
Le 04/09/2014 10:55 AM, Stephane Bortzmeyer a écrit :
On Wed, Apr 09, 2014 at 10:29:45AM +0200,
Francois Mescam wrote
a message of 19 lines which said:

pour openssl je ne me rappelle pas.


:-D

http://www.debian.org/security/2008/dsa-1571




Openssh se base sur OpenSSL

:-D

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
maderios
On 04/09/2014 09:39 AM, Stephane Bortzmeyer wrote:
On Tue, Apr 08, 2014 at 11:13:43PM +0200,
RHATAY Sami wrote
a message of 52 lines which said:

Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...



Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".



Bonjour
La faille a été corrigée pour testing ce matin, 9 avril alors que le
correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à
comprendre pourquoi la correction de cette faille met autant de temps à
remonter de Sid à Testing. Il semble que les corrections de sécurité
soient traitées comme de simples bugs chez Debian, ce n'est pas admissible.
Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec
correction immédiate au même moment dans toutes les versions Debian
quand il s'agit de sécurité.

--
Maderios


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
1 2 3