Vulnérabilité dans l’openssl de debian et ses dérivés (comme ubuntu), mettez vous à jour !

C’est par ici. (en anglais)

Concrètement, openssl génère notamment des clés privées et des clés publiques pour chiffrer des données. Le problème est que les clé qu’il génère sont « prévisible », c’est-à-dire que l’on peu deviner à quoi elles vont ressembler…

En gros, il vous faut (au plus vite !) mettre le paquet à jour (apt-get update && apt-get upgrade) dans un terminal et régénérer TOUTES vos clés qui ont été « atteintes » (on parle là des clés faites avec openssl, vos clés GnuPG ne sont pas touchées…) si elles ont été générées avec debian depuis septembre 2006, ou sur la version 7.04, 7.10 et 8.04 d’ubuntu (notamment). Openvpn est, entre autres, touché par le problème.

Un petit script est disponible ici pour savoir si vos clés sont vulnérables.

Notez que si vous êtes sous une autre distribution que debian et ses dérivées, vérifiez aussi que vous n’avez pas importé de clé qui sont touchées par le problème, par exemple pour l’authentification par clé sur votre serveur ssh d’un utilisateur externe…

C’est quand même fou d’avoir laissé une faille pareille depuis le 17/09/2006… Vive arch :p

Vus : 703
Publié par TheGlu : 20