Journal : Vulnérabilité Debian
Posté par snt () le 13 mai 2008
C'est énorme : La version d'openssl packagé par debian génère des clés de chiffrement prévisibles ! Donc non seulement, il faut mettre à jour vos machines, mais en plus il faut regénérér toutes vos clés, ou alors il ne faudra pas pleurer après.
Plus d'infos sur :
http://lists.debian.org/debian-security-announce/2008/msg001(...)
Plus d'infos sur :
http://lists.debian.org/debian-security-announce/2008/msg001(...)
> Lire le journal (97 commentaires, moyenne: 2,8).
Vous avez demandé le commentaire #930647.
Run by 
Cette page a été générée par Templeet en 0.0495s (dont 0.0058 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
tests
Ce que je trouve fou c'est que le bug est mis autant de temps à être découvert et qu'il n'y a pas de débat sur comment le bug aurait pu être éviter.
On pourrait imaginer une suite de test qui testerait l'aléatoire des clefs, a la sorti du générateur aléatoire avoir un filtre/test de l'aléatoire (un peu comme ce que fait le démon de rng-tools pour les générateurs aléatoire hardware pas forcement géniaux).
[^]Re: tests
Ce que je trouve fou c'est que le bug est mis autant de temps à être découvert et qu'il n'y a pas de débat sur comment le bug aurait pu être éviter.
Le débat viendra dans un second temps, je pense. L'urgence, c'est de communiquer pour éviter le pire.
On pourrait imaginer une suite de test qui testerait l'aléatoire des clefs, a la sorti du générateur aléatoire avoir un filtre/test de l'aléatoire (un peu comme ce que fait le démon de rng-tools pour les générateurs aléatoire hardware pas forcement géniaux).
C'est possible ça? Pourquoi le script perl fourni par debian pour vérifier les clés (dowkd.pl) ne l'utilise pas?
[^]Re: tests
On pourrait imaginer une suite de test qui testerait l'aléatoire des clefs
C'est trop tard pour les clefs pas assez aleatoires, c'est deja fait. La prochaine fois ca sera un autre truc :)