lundi 19 mai 2008

Faille de sécurité OpenSSL nécessitant mise à jour d'urgence!

Le Ubuntu Weekly Newsletter Numéro 91 attire notre attention sur une faille de sécurité concernant OpenSSL, et demandant mise à jour d'urgence d'OpenSSH. Celle-ci concerne toutes les distributions dérivées de Debian, y compris donc Ubuntu (n'oublions pas Knoppix, au cas où vous auriez généré votre clé avec cette distribution, sait-on jamais?). La découverte a été faite par Jan Pechanec via le forwarding X11, et affecte indirectement OpenSSH. Le générateur de nombres aléatoires de OpenSSL est pointé du doigt.

Aussitôt comblée, comme d'habitude sur notre OS favori (Oui oui, les utilisateurs de Linux sortent toujours couverts par définition, la sécurité n'est pas une option!), cette faille demande de votre part quelques clics ou copier-coller et quelques minutes (secondes pour les veinards de la bande passante!) afin que les mises à jour soient appliquées à votre machine. Mais pour une fois, une simple mise à jour des paquets ne suffit pas: la liste des blacklists doit être appliquée, et vos clés re-générés! La lecture d'une des pages pointées ci-dessous est donc fortement conseillée.

Allez hop, lancez Synaptic, ou mieux: tappez quelque chose comme ceci dans un terminal:

sudo apt-get dist-upgrade

Pour ma part j'ai plutôt fait:
sudo alefa -u "apt-get -y --force-yes dist-upgrade"

...mais vous pourrez bientôt en bénéficier vous-même bientôt... gniark! ;-)

Ubuntu: [USN-612-2] OpenSSH vulnerability
Debian: New openssh packages fix predictable randomness

Dernière modif, 2008-05-19: Je vous renvoie à l'excellent billet de Roland, sur le blog entièrement nu, pour une meilleure compréhension de cette faille de sécurité OpenSSL sur Debian, notamment sur ses portées.

5 commentaires:

Romain a dit…

Tout d'abord il ne s'agit pas d'une faille OpenSSH, mais OpenSSL.

Ensuite, il y a déjà eu un paquet d'articles sur le planet-libre consacrés à ce sujet depuis une semaine. En effet, ça commence un peu à dater sachant que ça date de mardi dernier.
Si tu n'as toujours pas regénéré tes clef c'est que tu peux te faire du soucis.

Enfin, je trouve qu'il y a trop de pubs pour la médiocre qualité de ce blog.

Thierry R. Andriamirado a dit…

Romain, bien vu: plus précisément, il s'agit d'une faille OpenSSL nécessitant mise à jour d'OpenSSL. D'où réctification du titre de cet article.

Planet Libre est en effet un important vecteur d'information, et crois bien que je prend évidemment en compte et respecte ses lecteurs, ainsi que ceux des autres supports qui peuvent diffuser les articles de Linuxeries. J'étais sur autre chose quand le Newsletter Ubuntu a attiré mon attention sur le sujet, et ai décidé d'en parler malgré les 5 jours de retard: beaucoup de gens peuvent rater des informations aussi importantes le jour où elles sortent (la preuve: moi ;-)), d'autres n'ont pas encore le reflexe des mises à jours régulières (surtout en cas de problèmes de bande passante... et il y en a des centaines de milliers, crois-moi!). Enfin, les stats de Linuxeries concernant les mots clés utilisés par beaucoup d'utilisateurs dans les moteurs de recherches montrent qu'une bonne partie des lecteurs ici ne sont pas forcément des geeks (et/ou ne veulent pas forcément porter cette étiquette sur le front) et peuvent être beaucoup plus enclins à rater ce genre d'informations. Voilà pourquoi après reflexion j'ai décidé que cet article devait sortir (et sans doute aussi pourquoi le Newsletter Ubuntu en a parlé).

Regénérer les clefs, j'espère surtout que tout le monde l'a fait :)

Quant à la pub et à la qualité du blog, mon article précédent reflète les travaux importants en cours afin d'améliorer encore les choses et rectifier ce qui doit l'être: la courbe croissante des visites malgré ma longue absence est très encourageante pour améliorer les choses (merci!!).

Pour finir (oui car cette réponse ressemble beaucoup plus à un discours plutôt qu'à un commentaire, même si la rédaction est rapide), longue vie à PeerFuse et je vous invite tous à rendre visite au blog de Romain Bignon.

Romain, Merci pour le commentaire et les remarques!

yoho a dit…

Même si tu as changé le titre, dans le texte, tu sembles toujours dire que la faille vient d'OpenSSH, mais c'est une faille OpenSSL qui impacte OpenSSH.

D'autre part, au début, tu sembles dire que si on met à jour, on est totalement en sûreté, ce qui n'est pas vrai. Tu corriges un peu plus loin dans l'article, mais il faut faire attention à ce qui est dit : la faille est dans la clé openssl, pas dans le logiciel. Regarde les excellents blogs qui parlent du sujet dans planet libre, ils sont en général très instructifs.

Thierry R. Andriamirado a dit…

En fait, l'intention étant d'attirer l'attention afin que ceux qui ne l'ont pas encore fait prennent les mesures qui s'imposent, j'aurais du tout simplement écrire quelque chose comme 'commencez déjà à mettre OpenSSH et ses dépendances à jour, ensuite documentez-vous pour voir les manips à faire, mais ne vous perdez pas dans les polémiques parlant de problèmes de communications entre x et y, et puis lisez d'ailleurs aussi les articles en anglais qui traitent du sujet...' (sorry, je ne parle pas l'allemand!)

Blague mis à part, le sujet étant sérieux, il est de toutes façons conseillé de se documenter dessus un minimum. A commencer déjà par les deux articles pointés ci-dessus, en passant par les Planets et les blogs comme le blog de yoho. Comme Yoho vient de nous le redire clairement, l'upgrade des paquets ne suffit absolument pas!

Anonyme a dit…
Ce commentaire a été supprimé par un administrateur du blog.