Forum Linux.debian/ubuntu Mise à jour ssl Debian et warning bizarre sur ssh

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
5
2
jan.
2014

J'ai reçu un message de CRON-APT cette nuit me disant qu'il faut mettre à jour openssl, rien de bien nouveau me direz-vous, un petit apt-get upgrade de nouvelle année, j'ai pas peur.
Oui mais en me connectant à la machine en ssh, que n'ai-je pas vu le message suivant :

moi@la:~$ ssh serveur 
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Please contact your system administrator.
Add correct host key in /home/moi/.ssh/known_hosts to get rid of this message.
Offending RSA key in /home/moi/.ssh/known_hosts:8
  remove with: ssh-keygen -f "/home/moi/.ssh/known_hosts" -R [serveur]:22
RSA host key for [serveur]:22 has changed and you have requested strict checking.
Host key verification failed.

Je n'avais évidemment pas touché à openssh-server avant ni rien, et les dernières connexions se passaient sans problèmes. J'ai donc quelques inquiétudes…
j'ai appliqué la commande ssh-keygen pour pouvoir me connecter, fait le apt-get upgrade sur place, puis par acquis de conscience, réinitialisé les clés /etc/ssh/ssh_host* et changé le mot de passe de l'opérateur. Mais je me demande toujours si je n'ai pas subit une petite attaque…

Le message de sécurité Dedian concernant cette mise à jour dit :

la prise en charge de TLS 1.2 était vulnérable à un déni de service et la >retransmission de messages DTLS a été corrigée. De plus, cette mise à jour
désactive l'algorithme Dual_EC_DRBG non sûr (et qui n'était pas utilisé)

Quelqu'un a-t-il une idée de ce qui aurait pu arriver ?

  • # Pourquoi?

    Posté par  (site web personnel) . Évalué à 4.

    Bonjour,

    pourquoi quelqu'un qui se serait introduit sur ton serveur aurait changé les clefs?

    Par contre, il est bien plus probable que ta connexion passe par un intermédiaire… et là, les clefs ne sont plus les mêmes, comme expliqué dans le message :

    Someone could be eavesdropping on you right now (man-in-the-middle attack)!

    J'ai aussi eu cette mise à jour, mais aucun changement de clefs.

    Donc, quelqu'un était probablement au milieu.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Pourquoi?

      Posté par  (site web personnel) . Évalué à 2.

      Pareil pour moi : mise à jour effectuée, pas de changement de clé. Donc ouais, t'as un beau risque de man in the middle

      Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

  • # Quelle version ?

    Posté par  . Évalué à 3.

    Salut,

    De quelle version du paquet s'agit-il ? Ca faisait longtemps que tu n'avais pas updaté ton serveur ?

    Il y a quelques mois une vulnérabilité avait été découverte dans le openssh de Débian. Un développeur Debian pensait avoir trouvé un bug dans le code. Il l'avait signalé en amont mais n'ayant pas eu de réponse il avait décidé de le corriger lui même. En fait, le bout de code en question servait à assurer une meilleure entropie dans la génération des clés.
    Le supprimé avait rendu les clés générées moins aléatoires donc potentiellement vulnérables. Et c'était resté comme ça pendant longtemps.

    Lorsque le code avait été réintroduit, le nouveau paquet forçait la regénération des clés existantes pour éviter de laisser traîner le problème. Du coup, si des clients avaient gardé en cache l'ancienne clé, ils affichaient cet avertissement. La clé avait changé, oui, mais c'était voulu. C'est peut être le même genre de problème. Le nouveau paquet a du forcer la regénération des clés.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.