Re: Faille "Heartbleed" d'Openssl

To: Stéphane GARGOLY <stephane.gargoly@gmail.com>
Cc: Debian debian-user-french <debian-user-french@lists.debian.org>
Subject: Re: Faille "Heartbleed" d'Openssl
From: Stephane Bortzmeyer <stephane@sources.org>
Date: Wed, 9 Apr 2014 09:39:12 +0200
Message-id: <[🔎] 20140409073912.GA14324@sources.org>
In-reply-to: <[🔎] CAAqHXE7-g+vZ7=E+Ubt97WbcXiy=LXXBUr0aqaO3=DFQCbFgbw@mail.gmail.com>
References: <[🔎] CAAqHXE7-g+vZ7=E+Ubt97WbcXiy=LXXBUr0aqaO3=DFQCbFgbw@mail.gmail.com>

On Tue, Apr 08, 2014 at 11:01:25PM +0200,
 Stéphane GARGOLY <stephane.gargoly@gmail.com> wrote 
 a message of 42 lines which said:

> En consultant la page Next INpact (ex-"PC INpact")

Il vaut mieux consulter les DSA :-)

Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060

La mise à jour est nécessaire mais pas suffisante. Il faut aussi :

- invalider les sessions (la faille permet de lire les cookies)
- changer les mots de passe (la faille permet de lire un htpasswd en
  mémoire)
- et sans doute changer les clés TLS (pas uniquement re-signer les
  certificats), la faille pouvant permettre de lire les clés privées.

Reply to:

References:
- Faille "Heartbleed" d'Openssl
  - From: Stéphane GARGOLY <stephane.gargoly@gmail.com>

Prev by Date: Re: UUID et label
Next by Date: Re: Faille "Heartbleed" d'Openssl
Previous by thread: Re: Faille "Heartbleed" d'Openssl
Next by thread: Re: Faille "Heartbleed" d'Openssl
Index(es):
- Date
- Thread