Une faille très importante a été découverte dans l’implémentation d’OpenSSL livrée avec la distribution Linux Debian. Toutes les versions d’OpenSSL depuis la 0.9.8c-1 (de septembre 2006 !) sont impactées.
Le bogue touche le générateur de nombres aléatoires d’OpenSSL, qui créé des résultats prévisibles (difficilement toutefois), ce qui permet de deviner les clés de chiffrement.
Les clés SSH, OpenVPN, DNSSEC, les clés de session SSL/TLS et les certificats X.509 sont tous touchés par cette faille. Les clés générées par GnuPG ou GNUTLS ne sont toutefois pas affectées.
Un correctif a été publié. En principe, que vous utilisiez la Debian ou une distribution Linux basée sur la Debian (comme l’Ubuntu), le gestionnaire de mises à jour a du vous proposer une nouvelle version d’OpenSSL hier.
Il se peut toutefois que votre système ne soit pas touché, si vous utilisez des paquets logiciels de développement… ou tout simplement si OpenSSL n’est pas installé ! Vous pouvez vérifier quelle est la version présente en tapant « openssl version » dans un terminal.
En tout état de cause, si « ssh-vulnkey » est présent sur votre système, cela signifie que le correctif a bien été appliqué. La page suivante du site de la Debian, montre comment utiliser cet outil pour repérer les clés vulnérables. Il ‘suffit’ alors d’en générer de nouvelles pour que tout rentre dans l’ordre.
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…