[sécurité] Bug dans openssh et openssl de debian/ubuntu
Posté : 16 mai 2008, 13:24
Attention à ceux qui utilisent un server debian etch ou plus récent. Un contributeur maladroit a supprimé le générateur aléatoire qui permettait de construire des clés ssh/ssl fiables.
A faire d'urgence car des script-kiddies s'amusent déjà avec des clés vulnérables:
Pas une bonne nouvelle. Je viens de m'y coller et il m'a fallu une bonne heure et demie pour mettre à jour 5 serveurs et clients. Par contre, la bonne nouvelle est qu'on a détecté cette faille et que le correctif n'a pas traîné.
A faire d'urgence car des script-kiddies s'amusent déjà avec des clés vulnérables:
- Lire ceci: http://lists.debian.org/debian-security ... 00152.html et le suivant: http://lists.debian.org/debian-security ... 00153.html
En gros on corrige la faille dans la librairie openssh/ssl et on installe un système de blacklist pour les clés compromises.
Plus simplement, vérifiez que vous avez bien cette source dans vos dépôts (sources.list)Faites un classiqueCode : Tout sélectionner
deb http://security.debian.org/ stable/updates mainet ça devrait rouler.Code : Tout sélectionner
# aptitude update # aptitude upgrade - Testez vos clés avec le script perl suivant:
http://security.debian.org/project/extr ... owkd.pl.gz
et faites:Code : Tout sélectionner
$ perl dowkd.pl user <votreUser> $ perl dowkd.pl host <votrehostName> - Si vos clés sont faibles, supprimez *toutes* les clés du ~/.ssh/autorized_keys sur votre serveur et, sur vos machine clientes, reconstruisez vos cles privées/publiques selon la méthode classique (ssh-keygen puis ajouter la clé publique dans l'autorized_keys du serveur).
Pas une bonne nouvelle. Je viens de m'y coller et il m'a fallu une bonne heure et demie pour mettre à jour 5 serveurs et clients. Par contre, la bonne nouvelle est qu'on a détecté cette faille et que le correctif n'a pas traîné.
,