Bonjour =E0 tous les utilisateurs et d=E9veloppeurs de Debian :
En consultant la page Next INpact (ex-"PC INpact")
http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit=
e-web-sites-ferment.htm
, il semble qu'il y a un probl=E8me de s=E9curit=E9 avec OpenSSL (versions
1.0.1 =E0 1.0.1f et la 1.0.2 b=EAta) et cela concerne les versions
Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
la version 1.0.2~beta1-1) de notre distribution.
D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise =E0 jour de
s=E9curit=E9 d=E9j=E0 pr=EAte pour les paquets 'openssl' et 'libssl1.0.0'. =
Je
compte, bien s=FBr, appliquer cette mise =E0 jour imm=E9diatement (et j'en
profite de l'occasion pour installer le client IRC 'konservation' pour
KDE).
Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
Unstable/Sid) ne semblent pas =EAtre concern=E9es par ce probl=E8me.
Pour ceux qui veulent savoir =E0 propos du paquet 'openssl', je vous
donne la page du r=E9sultat de recherche (toutes versions confondues) :
https://packages.debian.org/search?keywords=3Dopenssl&searchon=3Dnames&suit=
e=3Dall§ion=3Dall
Euh, pour finir, dites-moi : j'ai r=E9v=E9 ou il y a eu d=E9j=E0 un pr=E9c=
=E9dent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
ann=E9es ? o:-)
Cordialement et =E0 bient=F4t,
St=E9phane.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAAqHXE7-g+vZ7=E+Ubt97WbcXiy=LXXBUr0aqaO3=DFQCbFgbw@mail.gmail.com
-- <OpenSebou> tfaçons chez moi y'a tout qui est libre :D <OpenSebou> Mon OS est libre <OpenSebou> mes drivers sont libres <OpenSebou> mes applis sont libres <Serialtueur> Ta copine est libre <OpenSebou> connard
--
<OpenSebou> tfaçons chez moi y'a tout qui est libre :D
<OpenSebou> Mon OS est libre
<OpenSebou> mes drivers sont libres
<OpenSebou> mes applis sont libres
<Serialtueur> Ta copine est libre
<OpenSebou> connard
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140408231430.3f715947@anubis.defcon1
-- <OpenSebou> tfaçons chez moi y'a tout qui est libre :D <OpenSebou> Mon OS est libre <OpenSebou> mes drivers sont libres <OpenSebou> mes applis sont libres <Serialtueur> Ta copine est libre <OpenSebou> connard
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
RHATAY Sami
This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: quoted-printable
Je suis sous Jessie et je suis concerné par la faille de sécurité , ayant la version 1.0.1f d'OpenSSL.
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi...j'ai demandé à droite à gauche e t on m'a dit qu'il fallait pour l'instant chercher l'update dans les dépôt s de Sid.
J'ai essayé , ça a pas marché ... je vais donc attendre...
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Je suis sous Jessie et je suis concerné par la faille de sécurité ,
ayant la version 1.0.1f d'OpenSSL.
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...j'ai demandé à droite à gauche e t on
m'a dit qu'il fallait pour l'instant chercher l'update dans les dépôt s
de Sid.
J'ai essayé , ça a pas marché ... je vais donc attendre...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53446687.8030606@etud.univ-ubs.fr
This is an OpenPGP/MIME signed message (RFC 4880 and 3156) --6Ro0xEXGFO2exMbHnFG1pMQcLt6fhVerE Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: quoted-printable
Je suis sous Jessie et je suis concerné par la faille de sécurité , ayant la version 1.0.1f d'OpenSSL.
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi...j'ai demandé à droite à gauche e t on m'a dit qu'il fallait pour l'instant chercher l'update dans les dépôt s de Sid.
J'ai essayé , ça a pas marché ... je vais donc attendre...
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
jean-pierre giraud
Bonjour,
Le 08/04/2014 23:01, Stéphane GARGOLY a écrit :
Bonjour à tous les utilisateurs et développeurs de Debian :
En consultant la page Next INpact (ex-"PC INpact") http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution.
D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. Je compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en profite de l'occasion pour installer le client IRC 'konservation' pour KDE).
Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et Unstable/Sid) ne semblent pas être concernées par ce problème.
L'équipe de sécurité a publié dans la nuit un bulletin d'alerte de sécurité que je vous invite à consulter (comme toutes les autres alertes de sécurité, d'ailleurs). Voici le lien https://www.debian.org/security/2014/dsa-2896
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent avec cet outil (OpenSSL) aussi important et sensible, il y a des années ? o:-)
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Bonjour,
Le 08/04/2014 23:01, Stéphane GARGOLY a écrit :
Bonjour à tous les utilisateurs et développeurs de Debian :
En consultant la page Next INpact (ex-"PC INpact")
http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm
, il semble qu'il y a un problème de sécurité avec OpenSSL (versions
1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions
Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
la version 1.0.2~beta1-1) de notre distribution.
D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de
sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. Je
compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en
profite de l'occasion pour installer le client IRC 'konservation' pour
KDE).
Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
Unstable/Sid) ne semblent pas être concernées par ce problème.
Pour ceux qui veulent savoir à propos du paquet 'openssl', je vous
donne la page du résultat de recherche (toutes versions confondues) :
https://packages.debian.org/search?keywords=openssl&searchon=names&suite=all§ion=all
L'équipe de sécurité a publié dans la nuit un bulletin d'alerte de
sécurité que je vous invite à consulter (comme toutes les autres alertes
de sécurité, d'ailleurs).
Voici le lien
https://www.debian.org/security/2014/dsa-2896
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
années ? o:-)
Cordialement et à bientôt,
Stéphane.
Bien cordialement
jipege
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5344656C.6000707@neuf.fr
Bonjour à tous les utilisateurs et développeurs de Debian :
En consultant la page Next INpact (ex-"PC INpact") http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution.
D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. Je compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en profite de l'occasion pour installer le client IRC 'konservation' pour KDE).
Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et Unstable/Sid) ne semblent pas être concernées par ce problème.
L'équipe de sécurité a publié dans la nuit un bulletin d'alerte de sécurité que je vous invite à consulter (comme toutes les autres alertes de sécurité, d'ailleurs). Voici le lien https://www.debian.org/security/2014/dsa-2896
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent avec cet outil (OpenSSL) aussi important et sensible, il y a des années ? o:-)
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On Tue, Apr 08, 2014 at 11:13:43PM +0200,
RHATAY Sami <rhatay.e1302636@etud.univ-ubs.fr> wrote
a message of 52 lines which said:
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...
Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140409073953.GB14324@sources.org
La mise à jour est nécessaire mais pas suffisante. Il faut aussi :
- invalider les sessions (la faille permet de lire les cookies) - changer les mots de passe (la faille permet de lire un htpasswd en mémoire) - et sans doute changer les clés TLS (pas uniquement re-signer les certificats), la faille pouvant permettre de lire les clés privées.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On Tue, Apr 08, 2014 at 11:01:25PM +0200,
Stéphane GARGOLY <stephane.gargoly@gmail.com> wrote
a message of 42 lines which said:
En consultant la page Next INpact (ex-"PC INpact")
Il vaut mieux consulter les DSA :-)
Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060
La mise à jour est nécessaire mais pas suffisante. Il faut aussi :
- invalider les sessions (la faille permet de lire les cookies)
- changer les mots de passe (la faille permet de lire un htpasswd en
mémoire)
- et sans doute changer les clés TLS (pas uniquement re-signer les
certificats), la faille pouvant permettre de lire les clés privées.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140409073912.GA14324@sources.org
La mise à jour est nécessaire mais pas suffisante. Il faut aussi :
- invalider les sessions (la faille permet de lire les cookies) - changer les mots de passe (la faille permet de lire un htpasswd en mémoire) - et sans doute changer les clés TLS (pas uniquement re-signer les certificats), la faille pouvant permettre de lire les clés privées.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On Wed, Apr 09, 2014 at 09:39:53AM CEST, Stephane Bortzmeyer <stephane@sources.org> said:
On Tue, Apr 08, 2014 at 11:13:43PM +0200,
RHATAY Sami <rhatay.e1302636@etud.univ-ubs.fr> wrote
a message of 52 lines which said:
> Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
> de mise à jour en vue pour moi...
Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".
Ou installer le paquet d'instable au moment de l'alerte (c'estce que j'ai fait).
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140409080853.GB12803@rail.eu.org
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On 08/04/2014 23:01, Stéphane GARGOLY wrote:
Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent
avec cet outil (OpenSSL) aussi important et sensible, il y a des
années ? o:-)
Je me rappelle d'un gros problème sur openssh il y a quelques années
mais pour openssl je ne me rappelle pas.
--
Francois Mescam Tel:+33 6 16 05 77 61
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/534504F9.6050405@mescam.org
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On Wed, Apr 09, 2014 at 10:29:45AM +0200,
Francois Mescam <francois@mescam.org> wrote
a message of 19 lines which said:
pour openssl je ne me rappelle pas.
:-D
http://www.debian.org/security/2008/dsa-1571
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140409085549.GA22963@sources.org
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 04/09/2014 10:55 AM, Stephane Bortzmeyer a écrit :
On Wed, Apr 09, 2014 at 10:29:45AM +0200,
Francois Mescam <francois@mescam.org> wrote
a message of 19 lines which said:
pour openssl je ne me rappelle pas.
:-D
http://www.debian.org/security/2008/dsa-1571
Openssh se base sur OpenSSL
:-D
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5345192B.2060404@gmail.com
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
maderios
On 04/09/2014 09:39 AM, Stephane Bortzmeyer wrote:
On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami wrote a message of 52 lines which said:
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi...
Problème classique avec "testing" : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, "stable" ou "unstable".
Bonjour La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. Il semble que les corrections de sécurité soient traitées comme de simples bugs chez Debian, ce n'est pas admissible. Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On 04/09/2014 09:39 AM, Stephane Bortzmeyer wrote:
On Tue, Apr 08, 2014 at 11:13:43PM +0200,
RHATAY Sami <rhatay.e1302636@etud.univ-ubs.fr> wrote
a message of 52 lines which said:
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas
de mise à jour en vue pour moi...
Problème classique avec "testing" : pas de mise à jour de sécurité
rapide. Si on tient à la sécurité, "stable" ou "unstable".
Bonjour
La faille a été corrigée pour testing ce matin, 9 avril alors que le
correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à
comprendre pourquoi la correction de cette faille met autant de temps à
remonter de Sid à Testing. Il semble que les corrections de sécurité
soient traitées comme de simples bugs chez Debian, ce n'est pas admissible.
Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec
correction immédiate au même moment dans toutes les versions Debian
quand il s'agit de sécurité.
--
Maderios
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53455FBE.7040309@gmail.com
On 04/09/2014 09:39 AM, Stephane Bortzmeyer wrote:
On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami wrote a message of 52 lines which said:
Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi...
Problème classique avec "testing" : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, "stable" ou "unstable".
Bonjour La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. Il semble que les corrections de sécurité soient traitées comme de simples bugs chez Debian, ce n'est pas admissible. Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité.
