Re: Faille "Heartbleed" d'Openssl
On 2014-04-08 23:01:25 +0200, Stéphane GARGOLY wrote:
> En consultant la page Next INpact (ex-"PC INpact")
> http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm
> , il semble qu'il y a un problème de sécurité avec OpenSSL (versions
> 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions
> Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour
> la version 1.0.2~beta1-1) de notre distribution.
[...]
> Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et
> Unstable/Sid) ne semblent pas être concernées par ce problème.
unstable était aussi concerné (il y a eu une mise à jour 1.0.1g-1 hier
corrigeant le bug, et une autre 1.0.1g-2 aujourd'hui pour redémarrer
les services automatiquement).
On 2014-04-09 09:39:12 +0200, Stephane Bortzmeyer wrote:
> La mise à jour est nécessaire mais pas suffisante. Il faut aussi :
>
> - invalider les sessions (la faille permet de lire les cookies)
> - changer les mots de passe (la faille permet de lire un htpasswd en
> mémoire)
> - et sans doute changer les clés TLS (pas uniquement re-signer les
> certificats), la faille pouvant permettre de lire les clés privées.
et s'assurer que les anciens certificats sont révoqués; avec Gandi,
cela sera automatique, mais ce n'est pas encore fait:
https://twitter.com/gandibar/status/453658107055718400
Je pense que pour tester la révocation, on peut faire:
openssl s_server -key old-private.key -cert old-cert.crt -www
sur le serveur, et ouvrir avec un navigateur web:
https://<server_hostname>:4433/
--
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Reply to: