OupSSH
’soir,
gros pépin avec openssl (et donc avec openssh) : depuis le
4 mai 2006, les clefs générées ne sont pas assez aléatoires.
Gros trou de sécurité, donc.
C’est passé sur la liste sécurité,
http://lists.debian.org/debian-security-announce/2008/msg00152.html
mais tout le monde n’y est peut-être pas abonné alors je me
permets de relayer ici.
Ça touche, au moins :
— le serveur ssh, qui génère ses clefs au premier démarrage ;
— les utilisateurs qui ont généré des clefs (ssh-keygen) ;
— les certificats de serveurs web (x509, pour https).
Il faudra donc installer la nouvelle version, qui va arriver
sous peu dans les dépôts, virer les clefs (/etc/ssh/*key*
/home/*/.ssh/id_*), regénérer les clefs (dpkg-reconfigure -d low
openssh-server, et ssh-keygen -t dsa, ssh-keygen -t rsa pour
chaque utilisateur) et redistribuer ces clefs là où elles
servent (celles qui ont été copiées dans les fichiers
.ssh/authorized_keys d’autres machines p.ex.).
http://www.debian.org/security/key-rollover/ devrait bientôt
expliquer quels paquets sont touchés et que faire pour chacun.
Un petit programme perl est disponible
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
pour tester ses clefs :
$ perl dowkd.pl host localhost # pour un serveur ssh
$ perl dowkd.pl user # pour tous les utilisateurs
$ perl dowkd.pl help # pour le reste…
Si vous n’avez pas de serveur ssh ou si vous n’avez jamais
utilisé la commande ssh-keygen, il y a très peu de chance (voire
aucune) que cela vous touche/intéresse.
--
Sylvain Sauvage
Reply to:
- Follow-Ups:
- Re: OupSSH
- From: Sylvain Sauvage <Sylvain.Sauvage@metanoesis.net>