Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

Beamo · Le 19/05/2008, à 10:30

Brunus a écrit :

Voici une réponse en provenance d'un autre forum :
Si une paire de clefs DSA a été générée sur une machine saine mais que la clef privée a été utilisée sur une machine avec l'openssl impacté, alors cette clef et vulnérable.
En effet, l'algorithme de DSA utilise des nombres aléatoires pour la signature et avec plusieurs messages signés avec l'openssl impacté il y a un risque de pouvoir retrouver la clef privé.

Oui mais comme je viens de le dire précédemment ce n'est pas le cas lors d'une connexion ssh.
Lors d'une connexion ssh la clé privée n'est pas utilisée à part pour décoder une clé symétrique.

Brunus a écrit :

C'était en réponse à cela :
Encore une fois : ce n'est pas parce qu'une machine utilise une distribution qui n'est pas une dérivée Debian, ou n'a pas inclus la version saccagée d'openssl, que cette machine est à l'abri. Il suffit qu'un utilisateur de la machine y ai placé une clef ssh vérolée (générée sur une Gutsy, par exemple) pour que la machine soit compromise.

Il suffit q'un utilisateur y ait placé une clé ssh vérolée. Encore une fois ce n'est pas le cas lors d'une connexion ssh basique.

Je peux me tromper, je ne suis pas un expert mais je pense que cela marche comme ça.

Beamo

Dernière modification par Beamo (Le 19/05/2008, à 10:31)

Brunus · Le 19/05/2008, à 14:05

bashar a écrit :

iuchiban a écrit :
Je pense que le gars à l'origine de ce problème va se faire taper sur les doigts.:P
C'est plutôt la façon dont sont validés les apports des contributeurs qui est en question ici.
Parce qu'à la limite, quelqu'un de mal intentionné pourrait lui-même contribuer en apportant ses développements, en y glissant "par inadvertance" une petite fragilité qu'il serait a même d'exploiter...

Heu oui mais non...
Là on parle d'un mainteneur de Debian.
Lorsque tu ne fais pas partie de l'équipe de maintenance d'une distribution, tout dabord, généralement, ce n'est pas toi qui fabrique un paquet qui est déjà dans la distribution.
Si tu a créé ton propre soft, que tu en fait un paquet et que tu veux qu'il soit intégré dans une Debian, il va falloir qu'il passe le contrôle des mainteneur de la version Unstable...et sera peut être rejeté.

Dans le cas de openssl et openssh, ces paquets ont des mainteneurs officiels chez Debian. Ces gens sont connus, et lorsqu'une connerie est apparait dans les paquets openssh ou openssl, ce ne peut être à l'origine qu'une connerie du mainteneur ou du développeur.
Coté développement c'est pareil, ces projets ont des équipes de développement et n'importe qui ne peut pas injecter n'importe quoi dans le code. Pour entrer dans une équipe de développement il faut avoir fait ses preuves, par exemple en tant que testeur de longue date. Il est facile de télécharger le contenu d'un mirroir de développement, genre sur un CVS ou subversion, mais pour avoir un code d'accès développeur et y déposer quelque chose, ce n'est pas si facile que cela.

Il ne faut donc pas croire qu'il est facile d'injecter du code malicieux dans un projet open-source qui va être packagé puis intégré dans une distribution.

bashar · Le 19/05/2008, à 15:54

Ce que je voulais mettre en avant, c'etait le fait que chercher a taper sur les doigts du developpeur est un non-sens, une telle faille montre plutot un problème organisationnel (problème dans le process de validation).
Développer sans bug est une utopie...Il faut donc être capable de les détecter.

En fait je prenais juste la défense du contributeur qui a les oreilles qui sifflent sur certains forum je ne lui pretais pas de volontés malveillantes.
Heureusement qu'il n'est pas facile d'injecter du code malveillant volontairement mais a l'impossible nul n'est tenu...

Brunus · Le 19/05/2008, à 16:13

bashar a écrit :

Ce que je voulais mettre en avant, c'etait le fait que chercher a taper sur les doigts du developpeur est un non-sens, une telle faille montre plutot un problème organisationnel (problème dans le process de validation).
Développer sans bug est une utopie...Il faut donc être capable de les détecter.
En fait je prenais juste la défense du contributeur qui a les oreilles qui sifflent sur certains forum je ne lui pretais pas de volontés malveillantes.
Heureusement qu'il n'est pas facile d'injecter du code malveillant volontairement mais a l'impossible nul n'est tenu...

Je suis bien daccord.

J'ai retrouvé le suivit d'un bug openssl sur le bugtrack Debian...ce qui est fun c'est que c'est dans ce fil de discussion du bug que Kurt (le mainteneur qui a injecté le gros bug dont on parle ici) a annoncé sont intention d'aider à la maintenance du paquet openssl, c'est dans ce même message qu'on apprend qu'il est finalement le mainteneur le plus actif...et cela se passe entre avril et octobre 2006, donc entre les deux date, il a injecté le bug
On voit bien qu'à un moment il a été un peu seul et que ce qui manque le plus ce sont des volontaires pour aider !
Au début il devait co-maintenir, puis il est devenu mainteneur principal, et reçoit apparement très peu d'aide.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=332498

iuchiban · Le 19/05/2008, à 16:18

Bon c'est sûr que le process de validation de paquet a du zapper quelque chose à un moment donné.
Mais le correctif est arrivé vraiment rapidement (comme d'hab quoi) même si la faille remonte a vraiment longtemps (comme d'hab aussi quoi, faut le temps de la trouver)

Enfin, tout est bien qui finit bien. On peut régénérer des clés RSA 2048 Bits, els partager entre tous les postes de son parc info et refaire du SSH avec authentification par clé:P

arnaud_d · Le 19/05/2008, à 17:27

Bonjour,

J'ai lu l'article sur linuxfr.org, c'est vraiment incroyable. J'ai téléchargé le fichier Dowkd.pl et l'ai lançé comme suit :

arnaud@arnaud-laptop:~/Desktop$ ./dowkd.pl user
summary: keys found: 6, weak keys: 0

Est-ce que c'est comme ça qu'il faut s'en servir ? Est-ce que je suis ok ?

Merci...

Brunus · Le 19/05/2008, à 18:12

arnaud_d a écrit :

Bonjour,
J'ai lu l'article sur linuxfr.org, c'est vraiment incroyable. J'ai téléchargé le fichier Dowkd.pl et l'ai lançé comme suit :
arnaud@arnaud-laptop:~/Desktop$ ./dowkd.pl user
summary: keys found: 6, weak keys: 0
Est-ce que c'est comme ça qu'il faut s'en servir ? Est-ce que je suis ok ?
Merci...

Essaye ./dowkd.pl host localhost

arnaud_d · Le 20/05/2008, à 10:03

Bonjour Brunus,

Merci pour ta réponse, j'ai fait ce que tu m'as dit :

arnaud@arnaud-laptop:~/Desktop$ ./dowkd.pl host localhost
summary: keys found: 0, weak keys: 0

Je pensais que j'aurais bien une clé faible puisque j'ai déjà utilisé VNC et que tous les jours je me connecte à un firewall avec ssh mais je n'ai pas du comprendre quel progs étaient touchés (faut dire j'en connais pas long en sécurité etc....)

C'est très bien comme ça

Merci !

Xun · Le 27/05/2008, à 17:36

Bonjour,

Je me permets de faire remonter ce post, par mon incomprehension des evênements.

Que se passe-t-il ? J'ai juste compris qu'il y avait une faille

Mais je n'ai pas compris, à qui s'adresse le renouvelement des clés machins ?

Pourquoi est-ce important ?
Que faut-il faire ? Dans quelles conditions ?

Bref, vous pouvez rajouter des questions + la réponse

Excusez ce up,
Xun

Rubyman · Le 27/05/2008, à 22:34

Je me posais une question... A cause de cette faille de sécurité, si j'ai bien compris, les clés générées par OpenSSL n'étaient pas aussi aléatoires qu'elles ne devraient l'être, les rendant moins résistante à une attaque. Cependant, cela peut-il conduire, pour un particulier, à se faire voler son numéro de carte bancaire ? Quelqu'un a prétendu s'être fait voler son code de cette manière, mais cela me parait plus que louche...

yurek · Le 27/05/2008, à 23:10

Oui si le serveur qui envoie la page en https a généré une clef avec ce BIG BUG, toutes les communications passent en clair, suffit d'avoir un programme pour. Celui qui connaissait ce bug a du bien s'amuser pendant 2 ans !!

Aujourd'hui toute la cryptographie s'appuie majoritairement sur ces type de cryptage, imaginer qu'une faille soit introduit par erreur. Un malin méchant pourrait lancer les missiles nucléraires... Froid dans le dos...

philpep-tlse · Le 27/05/2008, à 23:20

yurek a écrit :

...Un malin méchant pourrait lancer les missiles nucléraires... Froid dans le dos...

Je pense pas que ce genre d'ordi soit branché sur Internet mais plutôt sur un réseau impénétrable et plutôt sous OpenBSD que Debian GNU/Linux

yurek · Le 27/05/2008, à 23:26

Faut quand meme pas oublier qu'Internet c'est un océan et que ton ordinateur c'est un bateau qui a tendance à couler lorsque la mer s'agite.

Ce bug est la preuve "vivante" que ubuntu et meme tous les systeme sont buggé et contiennent des failles critiques. Jusqu'a ce que l'on ai trouvé le moyen d'automatiser la detection des bugs, tous les systemes unix et linux serons vulnérables, je ne parle même pas de macos et de windows qui sont de véritable passoire (oui oui macos est une passoire).

Dernière modification par yurek (Le 27/05/2008, à 23:29)

Rubyman · Le 28/05/2008, à 00:08

Bien ce que je me disais, une faille openssl sur un ordinateur particulier ne peut donc pas conduire à un vol de numéro de CB... En espérant que la rumeur ne se propage pas

iuchiban · Le 28/05/2008, à 08:23

Typhaine a écrit :

Si
- La puissance de calcul continue d'augmenter comme elle le fait actuellement
- On ne fait pas de découverte mathématique majeure dans ce domaine
- On réunit et exploite de manière optimale toutes les unités de calcul du monde.
Il faudrait une dizaine d'années pour casser une clef RSA-1024.
Donc attendons avant de crier à la fin du monde.

Sauf que là, avec le bug, il n'y avait "plus que" 65000 clés possibles, soit rien du tout.

Sinon effectivement, le plus gros nombre RSA cracké actuellement est le RSA-200 (200 chiffres décimaux) soit 663 bits
voir : http://fr.wikipedia.org/wiki/Nombre_RSA

Xun · Le 28/05/2008, à 10:00

Que faut-il faire apres avoir fait les MAJ ??

Xun

iuchiban · Le 28/05/2008, à 10:18

suivre le lien que j'ai donné dans mon premier post (cherche ssh dans la doc)

Xun · Le 28/05/2008, à 10:32

Et si on ne l'a jamais installé sur notre pc, ça ne nous concerne pas ?

Xun

seb24 · Le 28/05/2008, à 10:57

La mise a jours a déjà était faite sur Ubuntu.

Brunus · Le 28/05/2008, à 12:03

Xun a écrit :

Et si on ne l'a jamais installé sur notre pc, ça ne nous concerne pas ?
Xun

C'est pas exactement ça. Même si le système de cryptage SSL n'est pas installé sur ton PC, tu l'utilise lorsque tu accède à une page Internet sécurisée, HTTPS.
Si le serveur qui te délivre cette page est affecté par le bug, alors tu est concerné puisque tu va envoyer vers ce serveur des données qui sont censées êtres protégées par le système de cryptage mais ce même système est du coup peu efficace, du fait du bug.

Il ne faut pas non plus céder à la parano...pour ceux qui utilisent leur num de CB sur Internet, par exemple, suffit de bien faire gaffe aux débits sur le compte, mais bon comme d'hab quoi.

Le problème est bien plus ennuyeux au niveau de serveurs qui proposent des acccès direct et cryptés à leur clients. Mais sur ces serveurs, le problème est déjà réglé.

D'ailleur je pense que dans la grande majorité des cas de serveurs qui étaient vurnérables, le problème est réglé. Il peut rester quelques petits serveurs dédiés perso, ou quelques petites boutiques en ligne, mais c'est tout. Tous les sites qui sont hébergés par des pros sont patchés.

Xun · Le 28/05/2008, à 12:42

Okok !

Merci pour ces petites précisions !

Xun

Arnold59 · Le 14/05/2009, à 13:45

Bonjour,

Voilà depuis quelques jours, je m'intéresse à OpenSSL.

http://www.openssl.org

la dernière version stable est openssl-0.9.8k

J'ai donc récupéré le source.

Je vais l'installer sur Ubuntu 9.04, car la version est ancienne :

Oct 19 10:36:16 2007 openssl-0.9.8g

Bonne journée à tous & à toutes:D

Dernière modification par Arnold59 (Le 14/05/2009, à 13:50)

Xun · Le 14/05/2009, à 20:07

C'est pas bien de faire remonter un topic, comme ça, de ce nom !!

On va encore croire à une faille

Bref,
Xun

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 19/05/2008, à 10:30

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#27 Le 19/05/2008, à 14:05

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#28 Le 19/05/2008, à 15:54

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#29 Le 19/05/2008, à 16:13

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#30 Le 19/05/2008, à 16:18

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#31 Le 19/05/2008, à 17:27

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#32 Le 19/05/2008, à 18:12

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#33 Le 20/05/2008, à 10:03

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#34 Le 27/05/2008, à 17:36

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#35 Le 27/05/2008, à 22:34

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#36 Le 27/05/2008, à 23:10

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#37 Le 27/05/2008, à 23:20

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#38 Le 27/05/2008, à 23:26

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#39 Le 28/05/2008, à 00:08

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#40 Le 28/05/2008, à 08:23

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#41 Le 28/05/2008, à 10:00

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#42 Le 28/05/2008, à 10:18

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#43 Le 28/05/2008, à 10:32

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#44 Le 28/05/2008, à 10:57

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#45 Le 28/05/2008, à 12:03

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#46 Le 28/05/2008, à 12:42

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#47 Le 14/05/2009, à 13:45

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

#48 Le 14/05/2009, à 20:07

Re : Faille critique sur OpenSSL pour toutes les Debian-like (comme Ubuntu)

Pied de page des forums