Re: Faille "Heartbleed" d'Openssl
On Tue, Apr 08, 2014 at 11:01:25PM +0200,
Stéphane GARGOLY <stephane.gargoly@gmail.com> wrote
a message of 42 lines which said:
> En consultant la page Next INpact (ex-"PC INpact")
Il vaut mieux consulter les DSA :-)
Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060
La mise à jour est nécessaire mais pas suffisante. Il faut aussi :
- invalider les sessions (la faille permet de lire les cookies)
- changer les mots de passe (la faille permet de lire un htpasswd en
mémoire)
- et sans doute changer les clés TLS (pas uniquement re-signer les
certificats), la faille pouvant permettre de lire les clés privées.
Reply to: