Openssl, faille de sécurité !

F50 · Le 09/04/2014, à 07:50

Salut,

L'article :

Ici

Shamayo · Le 09/04/2014, à 08:59

Apparemment, les versions 1.0.1 à 1.0.1f (inclus) sont vulnérables, les versions 1.0.1g, 1.0.0 et 0.9.8.

Je suis en version 1.0.1e sur ma debian wheezy, il faut obligatoirement recompiler à la main le logiciel ?

F50 · Le 09/04/2014, à 09:16

Je ne saurais te dire, ici j'ai :

OpenSSL 1.0.1 14 Mar 2012

Je ne sais pas à quoi correspond cette version mais il y a une màj hier d'openssl, serait régler ?

P.S. Il semble que debian/buntu se sont mis à jour d'après les commentaires de ton liens.

Dernière modification par fcn50 (Le 09/04/2014, à 09:24)

Shamayo · Le 09/04/2014, à 09:30

Oui, j'ai aussi mis à jour openssl hier soir, mais ça devait être pour la 1.0.1e du coup.
Je n'ai pas de nouvelles mises à jours de proposées avec un

#aptitude update

Edit :

commentaire sur korben.info a écrit :

Sur debian:
--------------
la version 1.0.1e a été corrigé!
Pour vérifier si vous avez la dernière version:
dpkg -s openssl | grep Version
Et vérifier que vous êtes bien au moins à la version 1.0.1e-2+deb7u5.
Source : Debian Security
Si ce n'est pas le cas mettez à jour vos paquets.
Sur Raspbian
-----------------
A priori ça n'a pas été mis à jour (Version: 1.0.1e-2+rvt+deb7u4)

Je n'avais pas compris, à priori, il y a eu un update de la version 1.0.1e sur debian, mais pas de changements de versions, ça doit être ce que j'ai eu hier. (j'ai la version: 1.0.1e-2+deb7u6)
Je regarderai sur Debian Security lorsque j'aurai quelques minutes.

Faut-il refaire toutes les clés SSH, certificats SSL et autre ?

Dernière modification par Shamayo (Le 09/04/2014, à 09:36)

F50 · Le 09/04/2014, à 09:45

Shamayo a écrit :

Faut-il refaire toutes les clés SSH, certificats SSL et autre ?

J'ai bien peur que OUI.

Shamayo · Le 09/04/2014, à 10:00

Aie...
Si c'est le cas, ça va être rigolo
Je ne sais même pas toutes les applications qui utilisent SSL donc les certificats à changer, une idée pour trouver ça ? J'ai vu passer la liste des services à redémarrer mais je ne l'ai pas notée.

F50 · Le 09/04/2014, à 10:04

Il semble y avoir des directives sur le site debian dans ton lien Korben.

Dernière modification par fcn50 (Le 09/04/2014, à 11:29)

Shamayo · Le 09/04/2014, à 10:33

fcn50 a écrit :

OpenSSL 1.0.1 14 Mar 2012

C'est marrant, ma version est du 11/02/2013. Tu as quelle distribution/version ?

lilp · Le 09/04/2014, à 10:37

Bonjour, je suis sous Ubuntu 12.04 avec OpenSSL version : 1.0.1-4ubuntu5.11
La maj bug pour le moment "délai de connexion dépassé" le site répond avec un temps assez important, mais google répond rapidement.
Est-ce normal?
Sinon comment compiler openssl? (ps : je n'ai jamais compiler avant)

F50 · Le 09/04/2014, à 10:49

Shamayo a écrit :

C'est marrant, ma version est du 11/02/2013. Tu as quelle distribution/version ?

buntu 12.04 LTS server + Xfce. Ouais, je sais pas pourquoi c'est du 2012 ?

@lilp : Chez moi ça fonctionne mais peut-être que ça dépend des sites ? Et bon, là c'est le foutoir, une telle faille c'est la guerre pour les serveurs.

Dernière modification par fcn50 (Le 09/04/2014, à 10:51)

lilp · Le 09/04/2014, à 11:08

Bon grosse connerie (désolé pour le langage de ma part), j'était sous une station virtuelle, j'ai changer la carte réseau et les MAJ sont passé.
Je suis donc maintenant en version : 1.0.1-4ubuntu5.12.
Qui apparemment est une version corrigée.
Pas eu besoin de rééditer mes certificats, mes sites sont toujours disponibles...

Dernière modification par lilp (Le 09/04/2014, à 11:13)

Shamayo · Le 09/04/2014, à 13:47

Oui, d'après Tux Planet, la version 1.0.1-4ubuntu5.12 est corrigée.

fcn50 a écrit :

buntu 12.04 LTS server + Xfce. Ouais, je sais pas pourquoi c'est du 2012 ?

Tu as les bons dépôts ?

lilp a écrit :

Pas eu besoin de rééditer mes certificats, mes sites sont toujours disponibles...

Ce n'est pas le fait que les sites marchent ou ne marchent pas, c'est le fait que quelqu'un a pu récupérer les certificats de tes sites et peut se faire passer par toi auprès de tes utilisateurs/des postes clients. Le pirate peut donc récupérer les données et mots de passes.

lilp · Le 09/04/2014, à 14:14

Ok, je vais donc réediter tout de même les certificats alors. Il faut supprimer les anciens pour en créer des nouveaux j'imagine?

Shamayo · Le 09/04/2014, à 14:31

Tu peux en créer de nouveaux, mais il faudra indiquer dans tous tes fichiers de confs les nouveaux emplacements des certificats. Sinon, je pense que tu peux les supprimer et en refaire au même endroits.

Je ne suis pas sur de ce que dis, il vaut mieux attendre la confirmation de quelqu'un d'autre !

cris22 · Le 09/04/2014, à 14:52

Bonjour

Cela concerne qui, les serveurs, les OS, les pc de bureaux ?

Je suis sur un pc de bureau, si je tape openSSL en console la réponse est : OpenSSL 1.0.1 14 mar 2012.

J'ai beau faire une MàJ, c'est toujours cette version qui apparaît.

Suis-je concerné et si oui comment faire une MàJ

Merci

F50 · Le 09/04/2014, à 14:53

J'ai bien la 1.0.1-4ubuntu5.12 et c'est bel et bien : OpenSSL 1.0.1 14 Mar 2012.

Je crois qu'il est prudent de changer les mdp de ses sites fréquentés, surtout si des achats/paiements peuvent être fait dessus.

@ chris22, Tu as la version (bonne) rectifiée.

Dernière modification par fcn50 (Le 09/04/2014, à 14:56)

Shamayo · Le 09/04/2014, à 15:37

cris22 a écrit :

Bonjour
Cela concerne qui, les serveurs, les OS, les pc de bureaux ?

La faille concerne les serveurs.
Mais du coup, les clients qui se connectent sur un serveur via SSL peuvent être attaqués aussi

cris22 · Le 09/04/2014, à 16:00

Merci pour vos précisions

Il est donc impératif de changer tous nos MP ?

q;rpro · Le 09/04/2014, à 16:01

Moi je suis sous ubuntu 14.04 beta final
et quand je tape openssl dans le terminal ça donne
OpenSSL 1.0.1f 6 Jan 2014
donc j'espere que je suis pas concerné

grandtoubab · Le 10/04/2014, à 16:54

Salut,
les versions correctives:
The problem can be corrected by updating your system to the following package version:

Ubuntu 13.10:
libssl1.0.0 1.0.1e-3ubuntu1.2

Ubuntu 12.10:
libssl1.0.0 1.0.1c-3ubuntu2.7

Ubuntu 12.04 LTS:
libssl1.0.0 1.0.1-4ubuntu5.12

http://www.ubuntu.com/usn/usn-2165-1/

q;rpro · Le 11/04/2014, à 02:45

Et moi alors ubuntu 14.04?

spinoziste · Le 11/04/2014, à 07:35

openssl version

???

Nasman · Le 11/04/2014, à 08:21

Les deux commandes pour connaître la version d'openssl me laissent perplexe

user@poste:~$ openssl version
OpenSSL 1.0.1 14 Mar 2012

user@poste:~$ dpkg -s openssl | grep Version
Version: 1.0.1-4ubuntu5.12

Si la version corrigée est la 1.0.1-4ubuntu5.12, alors à quoi correspond la date de Mar 2012 ?

spinoziste · Le 11/04/2014, à 08:52

Openssl a écrit :

07-Apr-2014:    Security Advisory: Heartbeat overflow issue.
07-Apr-2014:    OpenSSL 1.0.1g is now available, including bug and security fixes
24-Feb-2014:    Beta 1 of OpenSSL 1.0.2 is now available, please test it now
06-Jan-2014:    OpenSSL 1.0.0l is now available, including bug and security fixes
06-Jan-2014:    OpenSSL 1.0.1f is now available, including bug and security fixes
03-Jan-2014:    UPDATE: site defacement final details.
11-Feb-2013:    OpenSSL 1.0.1e is now available, including bug fixes
05-Feb-2013:    Security Advisory: three security fixes
05-Feb-2013:    OpenSSL 1.0.1d is now available, including bug and security fixes
05-Feb-2013:    OpenSSL 1.0.0k is now available, including security fixes
05-Feb-2013:    OpenSSL 0.9.8y is now available, including security fixes
10-May-2012:    Security Advisory: TLS/DTLS DoS issue
10-May-2012:    OpenSSL 1.0.1c is now available, including bug and security fixes
10-May-2012:    OpenSSL 1.0.0j is now available, including security fixes
10-May-2012:    OpenSSL 0.9.8x is now available, including security fixes
26-Apr-2012:    OpenSSL 1.0.1b is now available, including important bug fixes
25-Apr-2012:    Notice:OpenSSL 1.0.1a compilation problems with non x86 platforms
24-Apr-2012:    OpenSSL 0.9.8w is now available, including security fixes
24-Apr-2012:    Security Advisory: ASN1 incomplete fix for OpenSSL 0.9.8
19-Apr-2012:    OpenSSL 1.0.1a is now available, including important bug and security fixes
19-Apr-2012:    OpenSSL 1.0.0i is now available, including important bug and security fixes
19-Apr-2012:    OpenSSL 0.9.8v is now available, including important bug and security fixes
19-Apr-2012:    Security Advisory: ASN1 overflow vulnerability
14-Mar-2012:    OpenSSL 1.0.1 is now available, including new features

https://launchpad.net/ubuntu/+source/op … ubuntu5.12

Dernière modification par spinoziste (Le 11/04/2014, à 08:54)

grandtoubab · Le 11/04/2014, à 12:12

Nasman a écrit :

Les deux commandes pour connaître la version d'openssl me laissent perplexe
user@poste:~$ openssl version
OpenSSL 1.0.1 14 Mar 2012
user@poste:~$ dpkg -s openssl | grep Version
Version: 1.0.1-4ubuntu5.12
Si la version corrigée est la 1.0.1-4ubuntu5.12, alors à quoi correspond la date de Mar 2012 ?

@ubuntu-desktop:~$ openssl version -a
OpenSSL 1.0.1g 7 Apr 2014
built on: Tue Apr  8 17:43:08 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(8x,char) des(idx,cisc,16,int) blowfish(idx) 
compiler: gcc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

ça c'est sur debian jessie mais le principe est le même => on obtient la date de fabrication

ci-dessous Ubuntu Trusty 14.04:

@ubuntu-desktop:~$ openssl version -a
OpenSSL 1.0.1f 6 Jan 2014
built on: Mon Apr  7 21:22:23 UTC 2014
platform: debian-amd64
options:  bn(64,64) rc4(8x,char) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -DTERMIO -g -O2 -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -D_FORTIFY_SOURCE=2 -Wl,-Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
OPENSSLDIR: "/usr/lib/ssl"

Dernière modification par grandtoubab (Le 11/04/2014, à 12:29)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/04/2014, à 07:50

Openssl, faille de sécurité !

#2 Le 09/04/2014, à 08:59

Re : Openssl, faille de sécurité !

#3 Le 09/04/2014, à 09:16

Re : Openssl, faille de sécurité !

#4 Le 09/04/2014, à 09:30

Re : Openssl, faille de sécurité !

#5 Le 09/04/2014, à 09:45

Re : Openssl, faille de sécurité !

#6 Le 09/04/2014, à 10:00

Re : Openssl, faille de sécurité !

#7 Le 09/04/2014, à 10:04

Re : Openssl, faille de sécurité !

#8 Le 09/04/2014, à 10:33

Re : Openssl, faille de sécurité !

#9 Le 09/04/2014, à 10:37

Re : Openssl, faille de sécurité !

#10 Le 09/04/2014, à 10:49

Re : Openssl, faille de sécurité !

#11 Le 09/04/2014, à 11:08

Re : Openssl, faille de sécurité !

#12 Le 09/04/2014, à 13:47

Re : Openssl, faille de sécurité !

#13 Le 09/04/2014, à 14:14

Re : Openssl, faille de sécurité !

#14 Le 09/04/2014, à 14:31

Re : Openssl, faille de sécurité !

#15 Le 09/04/2014, à 14:52

Re : Openssl, faille de sécurité !

#16 Le 09/04/2014, à 14:53

Re : Openssl, faille de sécurité !

#17 Le 09/04/2014, à 15:37

Re : Openssl, faille de sécurité !

#18 Le 09/04/2014, à 16:00

Re : Openssl, faille de sécurité !

#19 Le 09/04/2014, à 16:01

Re : Openssl, faille de sécurité !

#20 Le 10/04/2014, à 16:54

Re : Openssl, faille de sécurité !

#21 Le 11/04/2014, à 02:45

Re : Openssl, faille de sécurité !

#22 Le 11/04/2014, à 07:35

Re : Openssl, faille de sécurité !

#23 Le 11/04/2014, à 08:21

Re : Openssl, faille de sécurité !

#24 Le 11/04/2014, à 08:52

Re : Openssl, faille de sécurité !

#25 Le 11/04/2014, à 12:12

Re : Openssl, faille de sécurité !

Pied de page des forums