[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Faille "Heartbleed" d'Openssl

On 2014-04-09 18:56:43 +0200, andre_debian@numericable.fr wrote:
> Pour un serveur Web Apache en accès "https" :
> globalement, faut-il modifier les certificats  ?
> (même si aucune clé n'a été transmis par https).

Oui. Mais un pirate pourra toujours utiliser les anciennes clés, tant
que tout le système de révocation n'aura pas été corrigé. Voilà ce que
j'ai appris tout à l'heure suite à un rapport de bug:

  https://news.ycombinator.com/item?id=7556909

> Et sous Postfix, plus particulièrment "dovecot" qui a un certificat ?

Probablement. Le site heartbleed.com dit: "heartbeat request can be
sent and is replied to during the handshake phase of the protocol".
Bref, même si le serveur POP3/IMAP a un seul utilisateur, n'importe
qui peut exploiter le bug.

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Reply to: