gmane.linux.debian.user.french

Mathieu Chappuis | 15 May 22:11

Picon

HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

Bonsoir,

Toujours à propos de :

http://www.debian.org/security/2008/dsa-1571

"
Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable. This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable
"

J'insiste, mais il n'y a pas que la partie SSH qui est touchée..

Si comme moi vous avez généré des demandes de certificats SSL à partir
d'une version compromise d'open-ssl (debian) vous pouvez vite demander
une regénération complète de vos certificats à votre prestataire,
quand c'est possible, car vos .key ne valent pas clopette..

# openssl-vulnkey monsite.key
Enter pass phrase for monsite.key:
Enter pass phrase for monsite.key:
COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key

Le package n'est pas proposé dans testing : voilà un lien

http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openssl-blacklist_0.1-0%7Edebian-1_all.deb

Sinon voir : http://wiki.debian.org/SSLkeys

(Continue reading)

antoine de hillerin | 15 May 23:35

Picon

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

D ailleurs a ce sujet faut il regenerer le certificat pour les impots ????

Merci d avance!

AH

Le 15 mai 2008 22:14, Mathieu Chappuis <mathieu.chappuis.lists <at> gmail.com> a écrit :

Bonsoir,

Toujours à propos de :

http://www.debian.org/security/2008/dsa-1571

"
Luciano Bello discovered that the random number generator in Debian's
openssl package is predictable. This is caused by an incorrect
Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable
"

J'insiste, mais il n'y a pas que la partie SSH qui est touchée..

Si comme moi vous avez généré des demandes de certificats SSL à partir
d'une version compromise d'open-ssl (debian) vous pouvez vite demander
une regénération complète de vos certificats à votre prestataire,
quand c'est possible, car vos .key ne valent pas clopette..

# openssl-vulnkey monsite.key
Enter pass phrase for monsite.key:
Enter pass phrase for monsite.key:
COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key

Le package n'est pas proposé dans testing : voilà un lien

http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openssl-blacklist_0.1-0%7Edebian-1_all.deb

Sinon voir : http://wiki.debian.org/SSLkeys

Bon week-end à tous!!!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org

Jean Baptiste FAVRE | 15 May 23:56

Picon

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

Bonsoir,
Pour être vraiment complet (!), HTTPS n'est pas le seul protocole
concerné. Dès que vous utilisez TLS ou SSL, vous êtes concernés (FTPS,
SMTPS, ...)

En ce qui conerne les impôts, le mieux est de leur poser la question. Je
ne sais pas personnellement ce qu'ils utilisent pour générer leurs
certificats (mais je pencherais pour un dispositif matériel vu la
quantité de certificats gérés)

Mes 2 cents,
JB

antoine de hillerin a écrit :
> D ailleurs a ce sujet faut il regenerer le certificat pour les impots ????
> 
> Merci d avance!
> 
> AH
> 
> 
> 
> 
> Le 15 mai 2008 22:14, Mathieu Chappuis <mathieu.chappuis.lists <at> gmail.com
> <mailto:mathieu.chappuis.lists <at> gmail.com>> a écrit :
> 
>     Bonsoir,
> 
>     Toujours à propos de :
> 
>     http://www.debian.org/security/2008/dsa-1571
> 
>     "
>     Luciano Bello discovered that the random number generator in Debian's
>     openssl package is predictable. This is caused by an incorrect
>     Debian-specific change to the openssl package (CVE-2008-0166). As a
>     result, cryptographic key material may be guessable
>     "
> 
>     J'insiste, mais il n'y a pas que la partie SSH qui est touchée..
> 
>     Si comme moi vous avez généré des demandes de certificats SSL à partir
>     d'une version compromise d'open-ssl (debian) vous pouvez vite demander
>     une regénération complète de vos certificats à votre prestataire,
>     quand c'est possible, car vos .key ne valent pas clopette..
> 
>     # openssl-vulnkey monsite.key
>     Enter pass phrase for monsite.key:
>     Enter pass phrase for monsite.key:
>     COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key
> 
>     Le package n'est pas proposé dans testing : voilà un lien
> 
>     http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openssl-blacklist_0.1-0%7Edebian-1_all.deb
>     <http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openssl-blacklist_0.1-0%7Edebian-1_all.deb>
> 
> 
>     Sinon voir : http://wiki.debian.org/SSLkeys
> 
>     Bon week-end à tous!!!
> 
>     --
>     Lisez la FAQ de la liste avant de poser une question :
>     http://wiki.debian.org/DebFrFrenchLists
>     Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
>     "Reply-To:"
> 
>     To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
>     <mailto:debian-user-french-REQUEST <at> lists.debian.org>
>     with a subject of "unsubscribe". Trouble? Contact
>     listmaster <at> lists.debian.org <mailto:listmaster <at> lists.debian.org>
> 
> 

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org

Sylvain Sauvage | 16 May 12:35

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
> 
> Bonsoir,

’jour,

> Pour être vraiment complet (!), HTTPS n'est pas le seul
> protocole concerné. Dès que vous utilisez TLS ou SSL, vous
> êtes concernés (FTPS, SMTPS, ...)

  Rappelons que, pour ces protocoles, le problème ne se pose que
pour les _serveurs_ (se sont eux qui génèrent le certificat).
  Donc si vous avez un .pem pour un de ses services : regénérer
(cf. tous les liens déjà donnés : des instructions sont données
pour chaque programme).

> En ce qui conerne les impôts, le mieux est de leur poser la
> question. Je ne sais pas personnellement ce qu'ils utilisent
> pour générer leurs certificats (mais je pencherais pour un
> dispositif matériel vu la quantité de certificats gérés)

  Autrement dit : le certificat est généré par les Impôts, donc
le fait que vous ayez utilisé ce certificat sur une Debian ne
devrait poser aucun problème. (Il ne pourrait y avoir de
problème que si les Impôts ont utilisé une Debian touchée pour
ce faire, ce qui est fort peu probable.)

--

-- 
 Sylvain Sauvage

Jean Baptiste FAVRE | 16 May 19:02

Picon

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

Petite erreur d'aiguillage, j'ai répondu en privé à Sylvain. Toutes mes
excuses.

Re,

Sylvain Sauvage a écrit :
> > Jean Baptiste FAVRE, jeudi 15 mai 2008, 23:56:44 CEST
>> >> Bonsoir,
> >
> > ’jour,
> >
>> >> Pour être vraiment complet (!), HTTPS n'est pas le seul
>> >> protocole concerné. Dès que vous utilisez TLS ou SSL, vous
>> >> êtes concernés (FTPS, SMTPS, ...)
> >
> >   Rappelons que, pour ces protocoles, le problème ne se pose que
> > pour les _serveurs_ (se sont eux qui génèrent le certificat).
> >   Donc si vous avez un .pem pour un de ses services : regénérer
> > (cf. tous les liens déjà donnés : des instructions sont données
> > pour chaque programme).
> >
Pas d'accord: les certificats clients sont également impactés à partir
du moment où ils ont été générés sur un serveur avec une mauvaise
version d'OpenSSL (cf. les impôts ci-dessous).

En conclusion, pour moi: ya pas à chercher midi à 14 heures. Remplacez
toutes vos clefs et certificats et vous dormirez tranquilles  
Bon évidemment, c'est ma solution parce que je n'ai que 10 clefs SSH à
gérer et 5 certificats. J'imagine que des structures plus importantes
vont peut-être chercher à optimiser la chose, mais pour information: les
tentatives de connexions sur le port 22 de mon serveur ont explosée
depuis 2 jours. Je reste serein puisqu'il est protégé par du
port-knocking mais tout le monde n'est pas dans mon cas  

>> >> En ce qui conerne les impôts, le mieux est de leur poser la
>> >> question. Je ne sais pas personnellement ce qu'ils utilisent
>> >> pour générer leurs certificats (mais je pencherais pour un
>> >> dispositif matériel vu la quantité de certificats gérés)
> >
> >   Autrement dit : le certificat est généré par les Impôts, donc
> > le fait que vous ayez utilisé ce certificat sur une Debian ne
> > devrait poser aucun problème. (Il ne pourrait y avoir de
> > problème que si les Impôts ont utilisé une Debian touchée pour
> > ce faire, ce qui est fort peu probable.)
> >
Plus généralement, si votre certificat est signé par une CA "officielle"
(Verisign and co), le mieux est de prendre contact avec eux.
Si vous avez généré votre certificate request sous Debian ou si leur CA
l'a été, vous avez gagné !

Bon week-end,
JB

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org

Stephane Bortzmeyer | 16 May 22:10

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

On Fri, May 16, 2008 at 07:02:26PM +0200,
 Jean Baptiste FAVRE <jean-baptiste.favre <at> wanadoo.fr> wrote 
 a message of 61 lines which said:

> Plus généralement, si votre certificat est signé par une CA
> "officielle" (Verisign and co), le mieux est de prendre contact avec
> eux.

Précisons que la notion de CA officielle ne veut rien dire. Verisign
est plus cher mais n'a rien de plus officiel.

Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle
gratuitement les clés des pauvres utilisateurs Debian (il parait que
Thawte le fait aussi).

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org

Jean Baptiste FAVRE | 16 May 23:33

Picon

Re: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)

J'entendais par "officielle" (notez les guillemets) une AC déjà
intégérée das les principaux navigateurs.

Désolé pour mon approximation 
JB

Stephane Bortzmeyer a écrit :
> On Fri, May 16, 2008 at 07:02:26PM +0200,
>  Jean Baptiste FAVRE <jean-baptiste.favre <at> wanadoo.fr> wrote 
>  a message of 61 lines which said:
> 
>> Plus généralement, si votre certificat est signé par une CA
>> "officielle" (Verisign and co), le mieux est de prendre contact avec
>> eux.
> 
> Précisons que la notion de CA officielle ne veut rien dire. Verisign
> est plus cher mais n'a rien de plus officiel.
> 
> Selon <http://taint.org/2008/05/16/114533a.html>, RapidSSL renouvelle
> gratuitement les clés des pauvres utilisateurs Debian (il parait que
> Thawte le fait aussi).
> 

--

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST <at> lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster <at> lists.debian.org

Return

Return to gmane.linux.debian.user.french.

Advertisement

Search Archive

Language

Change language

Options

Current view: Threads only / Showing whole messages / Not hiding cited text.
Change to All messages, shortened messages, or hide cited text.

Post a message
NNTP Newsgroup
Classic Gmane web interface
XML

XML

RSS Feed
List Information

About Gmane