samedi 26 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

: Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Posté par Amaury (). Modéré le 15 mai 2008.
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?
  1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
  2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
    Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
  3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

> Lire la dépêche (329 commentaires, moyenne: 2,2).  

Vous avez demandé le commentaire #932087.

[+] Tous ces commentaires sont désolants ...

Posté par Michel Rodriguez () le 15/05/2008 à 22:10. (lien). Évalué à -3.

... Pour plein de raisons (énoncées ici et là mais bon...) :
1) le zéro défaut, c'est un mythe. Voire : plus c'est gros, plus ça passe. Rappelez-vous un certain Jérome K
2) Vous trouvez Debian nulle ? Utilisez Windows et bouclez-là.
3) Que ceux qui ont déjà remonté un patch (digne de ce nom) à Debian dans ce forum lèvent le doigt les autres, voir le point 2)
4) Pour les plus paranos : quoi ? vous avez installé sur vos serveurs chéris un paquet que vous n'avez pas personnellement testé ? c'est suspect...

Très franchement, c'est fatiguant. Imaginez ce qui trotte dans la tête des DD aujourd'hui : "Je suis une grosse merde...". Bossant à la SG, je suis passé par là, j'imagine ce qu'ils ressentent.

Allez plutôt les soutenir de la manière qui vous paraît la plus appropriée pour vous, ça leur fera du bien.

  • [^]Re: Tous ces commentaires sont désolants ...

    Posté par Unixfix le Gaulois () le 15/05/2008 à 22:53. (lien). Évalué à 0.

    1) D'accord sur ce point, mais visiblement les mainteneurs de Debian ont la permission de bricoler sans filet. Quand je pense qu'ils se prennent pour la référence des distributions, la plus stable, la mieux testée, etc....

    2) Debian n'est pas nulle, simplement inadaptée à une utilisation professionnelle. Et en passant il y a d'autres distributions que Debian

    3) Non et apès tout j'ai abandonné Debian quand Sarge n'en finissait pas de ne pas sortir....

    4) Et oui personne n'est parfait. Mais aprés tout je ne suis pas responsable d'une distribution.

    Enfin je plains les sysadmins ayant choisi Debian ou dérivés ils vont se faire remonter les bretelles et avoir un week-end chargé. Avec le beau temps qui s'annonce c'est dommage....

    --
    Slackware depuis 1996

    • [^]Re: Tous ces commentaires sont désolants ...

      Posté par briaeros007 () le 16/05/2008 à 00:29. (lien). Évalué à 2.

      1) D'accord sur ce point, mais visiblement les mainteneurs de Debian ont la permission de bricoler sans filet. Quand je pense qu'ils se prennent pour la référence des distributions, la plus stable, la mieux testée, etc....

      C'est LEUR distrib. Ils font ce qu'ils veulent.
      C'est pas eux qui se prennent pour la "référence des distributions". Contrairement à d'autres tu as pas en homepage "seulement 2 failles dans l'install par défaut depuis 10 ans".

      2) Debian n'est pas nulle, simplement inadaptée à une utilisation professionnelle.
      aucune distribution ne l'est ... mais toute le son.
      En utilisation professionnelle,
      il y a 3 choses qui compte
      - le support.
      Si tu as une merde, il faut qu'elle soit réparé (tu vois c'est différent de "ne pas avoir de merde", car tout le monde sait que c'est impossible).
      - la fiabilité
      il faut un minimum d'interruption de service lors de l'utilisation dudit service (dépend de l'os, et du hard).
      - la sécurité
      (tu sais qu'il y a des serveurs sous du windows...)
      Si tu as une SS2I qui te fait un support 24/24 7/7 sur une ubuntu , suis la sécu dessus, elle peut être adapté en env professionnel, .
      Ca pose pas de probleme.

      Enfin je plains les sysadmins ayant choisi Debian ou dérivés ils vont se faire remonter les bretelles et avoir un week-end chargé.
      Et quand windows à un probleme de sécu "Critique" , il se fait remonter les bretelle le sysadmin ?

      --
      Subete ga wakatta toki…watashi ga anta wo korosu.

    [^]Re: Tous ces commentaires sont désolants ...

    Posté par fredix (Jabber id, page perso, ) le 15/05/2008 à 23:09. (lien). Évalué à 1.

    Me semble que le Jérome K a justement été viré ....

    Chez Debian on peut attendre 1 an et plus pour entrer comme DD, mais ensuite on peut faire une faute aussi énorme et y trouver des excuses ?
    En somme c'est logique, développement communautaire, responsabilité, heu, communautaire... S'il fallait trouver une faille à cette perfection, la voilà.

    --
    RubyFrance

    • [+] [^]Re: Tous ces commentaires sont désolants ...

      Posté par briaeros007 () le 16/05/2008 à 00:27. (lien). Évalué à -1.

      Les DD sont des salariés payé comme JK ?

      mais ensuite on peut faire une faute aussi énorme et y trouver des excuses ?
      Encore un amateur de "les torts ne sont jamais partagées. Vision binaire de base".

      En somme c'est logique, développement communautaire, responsabilité, heu, communautaire... S'il fallait trouver une faille à cette perfection, la voilà.
      Ca s'apelle le libre.
      Maintenant si tu veux des assurances, trouve et paie un OS EAL7...

      --
      Subete ga wakatta toki…watashi ga anta wo korosu.

      • [^]Re: Tous ces commentaires sont désolants ...

        Posté par fredix (Jabber id, page perso, ) le 16/05/2008 à 01:20. (lien). Évalué à 4.

        Encore un amateur de "les torts ne sont jamais partagées. Vision binaire de base".

        Je retire, il a bien discuté upstream, donc les torts semblent en effet partagé.

        Les DD sont des salariés payé comme JK ?
        Justement non. Donc la comparaison avec Jérôme K n'est pas viable, car ce qu'il a fait été intentionnel et en tant que salarié il risquait à juste titre des sanctions.

        Ca s'apelle le libre.
        Non ca s'appelle une distrib communautaire. Demain je peux coder du libre mais recevoir un avertissement disciplinaire ou un blâme si je suis salarié.

        Maintenant si tu veux des assurances, trouve et paie un OS EAL7... Ou simplement une Mandriva ? :)

        --
        RubyFrance

        • [^]Re: Tous ces commentaires sont désolants ...

          Posté par fredix (Jabber id, page perso, ) le 16/05/2008 à 01:33. (lien). Évalué à 1.

          donc les torts semblent en effet partagé.
          En fait je vois pas pourquoi les dev d'openssl prendraient sur eux la responsabilité qu'à le DD sur une lib aussi critique.... Et dans le doute il peut en discuter avec les packageurs des autres distribs hein, bref.

          --
          RubyFrance

          [^]Re: Tous ces commentaires sont désolants ...

          Posté par Romain Be. () le 16/05/2008 à 01:51. (lien). Évalué à 1.

          Les DD sont des salariés payé comme JK ?
          Justement non. Donc la comparaison avec Jérôme K n'est pas viable, car ce qu'il a fait été intentionnel et en tant que salarié il risquait à juste titre des sanctions.

          Tiens c'est marrant moi je pensais plutot qu'il avait fait ça pour le bénéfice qu'il, salarié, allait en tirer..

          --
          If you are the big tree,
          We are the small axe...

          [^]Re: Tous ces commentaires sont désolants ...

          Posté par briaeros007 () le 16/05/2008 à 09:37. (lien). Évalué à 1.

          Ou simplement une Mandriva ? :)
          C'était pas juste EAL5 mandriva ?
          D'ailleur ça en est où cette histoire ?

          --
          Subete ga wakatta toki…watashi ga anta wo korosu.

      [^]Re: Tous ces commentaires sont désolants ...

      Posté par Julien () le 16/05/2008 à 12:08. (lien). Évalué à 2.

      Me semble que le Jérome K a justement été viré ....

      Eheh, non, il me semble au contraire qu'il est aussi difficile de se faire virer de la SG que de debian ;)

      Pour la petite histoire, je crois qu'il était spécifié dans le contrat de Jérôme K. qu'un renvoi doit être précédé par un entretient avec sa hiérarchie ... Oui, sauf qu'il a justement l'interdiction légale d'avoir des contacts avec sa hiérarchie ou toute autre personne liée à l'affaire pendant l'enquête.

      • [^]Re: Tous ces commentaires sont désolants ...

        Posté par dab () le 16/05/2008 à 21:04. (lien). Évalué à 2.

        je crois qu'il était spécifié dans le contrat de Jérôme K. qu'un renvoi doit être précédé par un entretient avec sa hiérarchie
        Il me semble que tout licenciement doit être précédé d'un entretien avec sa hiérarchie, cela fait partie du code du travail et n'a pas besoin de figurer dans le contrat.

        • [^]Re: Tous ces commentaires sont désolants ...

          Posté par khivapia () le 17/05/2008 à 12:28. (lien). Évalué à 2.

          Et même plus loin que ça : si une clause prévoyant l'absence d'entretien est insérée dans le contrat, elle est nulle et réputée non écrite.

          Bon par contre l'entretien n'est obligatoire en cas de faute lourde, qui justifie un licenciement immédiat, sans préavis, et sans indemnités.

    [^]Re: Tous ces commentaires sont désolants ...

    Posté par folliked () le 16/05/2008 à 10:13. (lien). Évalué à 0.

    1) le zéro défaut, c'est un mythe. Voire : plus c'est gros, plus ça passe. Rappelez-vous un certain Jérome K

    le problème, ce n'est pas la bourde, mais le fait que vous vantiez tout le temps votre élitisme, clamez partout que votre distribution est la plus "secure" et la plus professionnelle, cette façon arrogante de mener le projet debian fait que vous êtiez incapable de vous remettre en question

    La différence avec le J. K. est que vous êtes une communauté, vous n'êtes pas sensé travailler dans votre coin, tout seul. De plus, il est fortement soupçonné que la direction le savait et qu'ils l'ont laissé faire !!!!
    On ne mélange pas les torchons et les serviettes !

    2) Vous trouvez Debian nulle ? Utilisez Windows et bouclez-là.

    quoi? y'a que debian comme GNU/LINUX ? si on veut être un(e) vrai linuxien(ne) faut installer une debian ? mdr , foutage de gueule !!! même Linus lui même n'utilise pas votre distribution en permanence et va voir ailleurs ce qui se passe. Votre distribution n'est pas la distribution "ultime" comme vous le prétendez. C'est une distribution parmi tant d'autres qui a sa propre éthique
    Faut que les debianeux se fassent psychanalyser, parce que franchement, j'ai jamais vu ça dans les autres communautés. Autant de mauvaise foi et d'aveuglement, ça tourne à la secte ... D'ailleurs, j'ai remarqué beaucoup de comportement sectaire dans les attitudes des utilisateurs (un manque d'ouverture non négligeable, tournant parfois presque au racisme envers les autres communautés) et les différents blog qu'on l'on puisse lire.

    3) Que ceux qui ont déjà remonté un patch (digne de ce nom) à Debian dans ce forum lèvent le doigt les autres, voir le point 2)

    parce que il n'y a que les packageurs qui ont le droit de critiquer ? c'est pas un peu immature comme propos et non professionnel ?

    4) Pour les plus paranos : quoi ? vous avez installé sur vos serveurs chéris un paquet que vous n'avez pas personnellement testé ? c'est suspect...

    aaaaaaaah mais non !!! debian c'est l'élite pourquoi je ne leur ferais pas une confiance aveugle ??? (comportement typique du debianeux qui me saoule en protestant que c'est la meilleure distri du monde entier et que je lui ricane au nez qu'un scandale va bientot arriver, je devrais me faire voyante, appelez moi IRMA)

    Vous ferez mieux d'etre plus humble, d'avoir plus d'humilité, plus modeste et discret, on en ferait pas un plat des énormes bourdes qui sont faites ...

    ... Je ne suis même pas sure que la communauté debian est capable de se remettre grandement en question !!! par contre les entreprises vont réfléchir et remettre en question les choix qu'ils ont porté sur votre distri

    Perso, le gars ne doit pas être viré mais rétrogradé car il n'est pas le seul responsable (ce n'est que mon humble avi). Et que les dirigeants revoient leur organisation, sans ça, ça se reproduira un jour ou l'autre ... (puis faut revoir tous les autres packages parce que toute façon, hein, faut pas se leurrer, il doit y avoir d'autres conneries comme ça ailleurs)

    • [+] [^]Re: Tous ces commentaires sont désolants ...

      Posté par Geoffrey G. (Jabber id, ) le 16/05/2008 à 10:56. (lien). Évalué à -1.

      Je partage une partie de ton point de vue sur le caractère sectaire de la communauté...

      Pour avoir utiliser debian pendant longtemps, je lui reproche surtout son manque d'ouverture vers le monde "professionnel".
      Bien que ce soit la philosophie d'interdire tout contenu copyrighter, j'estime que virer firefox des paquets officiels a cause d'un logo temoigne de la perversion de la philosophie.

      Personnellement, j'ai quitté debian pour fedora : la communauté est plus ouverte et surtout plus professionnelle, dû à la proximité du monde RedHat.


      Pour ce qui est du bug d'OpenSSL : tout le monde fait des erreurs. Celle-ci se solde par une baisse de la securité des réseaux, un patch, et c'est resolu. Il y a des choses plus graves dans la vie. Il s'agit d'une simple erreur d'inattention...
      Le genre d'erreur qui peut tuer des gens sur la route, certes, mais qu'il faut affronter avec philosophie.

      Au lieu de s'affronter, les communautés devraient s'entraider.

      Dire "Debian, ça rox", ok, mais pourquoi ?
      Dire "Mandriva, ça dechire sa race !", ok, mais pourquoi ?

      • [^]Re: Tous ces commentaires sont désolants ...

        Posté par patrick_g (page perso, ) le 16/05/2008 à 11:24. (lien). Évalué à 4.

        >>> j'estime que virer firefox des paquets officiels a cause d'un logo temoigne de la perversion de la philosophie.

        Combien de fois faudra-il répéter que le problème ne se pose pas tant au sujet du logo qu'au sujet de la liberté de patcher Firefox librement (ce que Debian veut faire) et de garder ensuite le logo.
        Ce n'est pas du tout la même chose.

        • [^]Re: Tous ces commentaires sont désolants ...

          Posté par folliked () le 16/05/2008 à 11:55. (lien). Évalué à 1.

          Ce sont les raisons pour lesquels debian a fait ce choix qui font tiquer certains linuxiens mais surtout pas le fait de l'avoir patché.

          D'autres logiciels subissent les mêmes choses (modif du logo tout ça tout ça pour un repackaging du logiciel), et pourtant on n'en fait pas un patacaisse. C'est le jeu du libre. Justement, c'est parce que les raisons ne sont pas aussi controversées que pour debian avec firefox.

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0781s (dont 0.0077 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.