David Prévot a écrit :
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 West a écrit :Salut, Apres une mise à jour via aptitude sur ma Etch + Reboot.Le reboot ne sert à rien si tu ne changes pas le noyau...J'ai vérifié la version openssl, j'ai toujours : #openssl version OpenSSL 0.9.8c 05 Sep 2006Je suis surpris, comment obtiens-tu la date ? D'après le changelog de Debian, la version 0.9.8c ne semble pas avoir été publiée (sous Debian), et à cette date, c'est la version 0.9.8b-3 qui faisait son apparition dans Sid (juste avant l'introduction de la vulnérabilité soit dit en passant ;).Est-ce normal ? Comment m'assurer que j'ai bien la version corrigée ?Tu va faire un tour sur l'annonce de sécurité [1] et tu t'aperçois que le problème récemment détecté est corrigé avec la version 0.9.8c-4etch3 publiée le 13 mai 2008. Donc a priori tu as un problème, mais envoie le contenu de /etc/apt/sources.list et le retour de la commande suivante : $ apt-cache policy openssl afin que l'on puisse en juger sur pièce. [1] http://www.debian.org/security/2008/dsa-1571Derniere question, j'ai réalisé mes clef privé pour l'authentification à ssh via Puttygen, mais sur Windows ! Confirmez vous que ces clefs sont correct ?Il y a des chances, vérifie les avec openssl-vulnkey pour t'en persuader... Amicalement David -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFIPUMz18/WetbTC/oRArhcAJ41+grZK2OpAfmgLGRqo2xc702aCQCfcm39 jGdyC8pJtHwqG8MfrMRBD4Q= =biH1 -----END PGP SIGNATURE-----
Oui je m'en suis douter pour le reboot, mes constatant que j'avais pas 0.9.8c-4Etch, j'ai rebooté, mais sans effet puisque en lancnat cette commande:
# openssl version
j'obtiens:
OpenSSL 0.9.8c 05 Sep 2006
et non pas pas 0.9.8c-4, c'est pour cette raison que je suis venu ici.
Le resultat de apt-cache:
# apt-cache policy openssl
openssl:
Installed: 0.9.8c-4etch3
Candidate: 0.9.8c-4etch3
Version table:
*** 0.9.8c-4etch3 0
500 http://security.debian.org etch/updates/main Packages
100 /var/lib/dpkg/status
0.9.8c-4etch1 0
500 ftp://mir1.ovh.net etch/main Packages
Pourtant j'ai toujours 0.9.8cavec "openssl version".
Bien, déjà le "Installed: 0.9.8c-4etch3" me ressure "un peu".
J'ai confirmé avec :
# dpkg -l openssl
||/ Name Version Description
+++-==============-==============-============================================
ii openssl 0.9.8c-4etch3 Secure Socket Layer (SSL) binary and
related
Maintenant pourquoi il m'affiche cette version j'en sais rien. Pourriez faire un test et me dire si vous avez le meme résultat parceque je ne suis que tres peu rassuré.
# openssl versionConcernant la clef générée via puttygen windows, javais deja fais le test avec openssl-vulkey apres avoir mis à jour openssh et régénérer les clefs publiques et privées du serveur, mais je n'ai pas (encore) changé ma clef privée générée depuis putty (win) qui me permet d'ailleurs de me connecter au serveur sans mot de passe. Il a rien détecté, j'ai également réalisé un test avec dowkd.pl, lui aussi n'a rien détecté. Mais je compte tout de meme tout changé (pas dans l'urgence) d'ici la semaine prochaine.