Sécurité : Découverte d'une faille de sécurité critique dans OpenSSL de Debian
Posté par Amaury (). Modéré le 15 mai 2008.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.
Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).
Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...
Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...
Que faire ?
- Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
- Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
- lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
NdM : lire également les articles sur Planet Debian-Fr.
![[en]](../images/en.png)
Le Debian Security Advisory (781 hits)-
Dowkd.pl - A télécharger absolument en cas de doutes ! (1762 hits)
-
Metasploit a généré les clefs faibles (689 hits)
![[fr]](../images/fr.png)
Journal Linuxfr déja paru à ce sujet (840 hits)-
Wiki Debian :à lire si vous ne savez pas quoi faire (817 hits)
-
... (225 hits)
> Lire la dépêche (329 commentaires, moyenne: 2,2).
Vous avez demandé le commentaire #931222.
Run by 
Cette page a été générée par Templeet en 0.0455s (dont 0.0052 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
utilisation dowkd.pl
Bonjour,
J'utilise pour mes serveurs une ubuntu dapper (je présume qu'elle est affectée par le bug). Je me demande comment utiliser correctement dowkd.pl, pour ne pas refaire toutes les clés.
J'ai installé openvpn et j'avais créé à l'époque des fichiers
.crt qui commencent par --- begin certificate --
.key qui commencent par --- begin rsa private key ---
j'ai pour le serveur apache2 plein de fichier .pem. J'avais créé les certificats avec apache2-ssl-certificates
Je me demandais quel genre de fichier dowkd.pl doit lire (les .pem, les .crt, les .key?). Je suppose que ce sont ceux en .key (avec la clé privée rsa),mais j'en suis pas sûr.
Merci.
Quentin
[^]Re: utilisation dowkd.pl
ni l'un ni l'autre.
Pour ca il te faut extraires la cle publique de tes cles privees :
ssh-keygen -y -f fichier.key > id_sslpuis utiliser dowkd.pl sur le fichier id_ssl.
En tout cas, cest comme ca que ca marche pour ssh-vulnkey (installe par la mise a jour des paquest debain), et je crois me souvenir (lien que je ne retrouve plus) que c'est pareil pour dowd.pl.