Journal Openssl: de battre mon coeur s'est arrété

Posté par . Licence CC by-sa
36
8
avr.
2014

Bonjour nal,

Si je prends la plume si précipitamment aujourd'hui, c'est parce qu'il est urgent de t'avertir d'une faille critique dans le code d'une librairie qui t'es chère. En effet, un dépassement de tampon dans l'implémentation Openssl de l'extension "heartbeat" du protocole TLS a été découvert. Je suppose que tu as le coeur brisé par cette nouvelle, mais je t'en supplie, ton sang ne doit faire qu'un tour, et tu dois migrer vers une version sûre, comme la 1.0.1.g.

  • # La bourre

    Posté par . Évalué à 10.

    Ça a été un gros coup de pression ce matin au boulot, mais c'est fait \o/

  • # Rolling release

    Posté par . Évalué à 0.

    Maintenant que tu le dis, je n'y ai pas fait attention ce matin:

    $ pacman -Qi openssl
    Name           : openssl
    Version        : 1.0.1.g-1
    Description    : The Open Source toolkit for Secure Sockets Layer and Transport Layer Security
    [...]
    Packager       : Pierre Schmitz <pierre@archlinux.de>
    Build Date     : lun 07 avr 2014 22:28:06 CEST
    Install Date   : mar 08 avr 2014 10:33:40 CEST
    [...]
    

    Sachant que la CVE à été dévoilée hier (le 2014-04-07), la réactivité ça laisse… rêveur.

    • [^] # Re: Rolling release

      Posté par (page perso) . Évalué à 10.

      Ça n'a rien à voir avec les rolling release, Debian aussi est à jour https://www.debian.org/security/2014/dsa-2896

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Rolling release

        Posté par . Évalué à -1.

        (Préambule: je ne connais pas bien le monde de Debian, corrigez moi si je me trompe)

        Il faut bien espérer que toutes les distributions corrigent vite le problème vis à vis de la gravité du problème. Je constatais juste qu'avec du rolling release la correction était rapide et transparente pour l'utilisateur. Mais de toute façon ça n'a pas grande importance, qui utiliserai du rolling release sur un serveur ;-) ? (Pchuuut baissez les bras)

        Cela semble être à jour dans sid (testing), mais pas dans les plus vieilles versions: par exemple jessie semble vulnérable. Après je ne sais pas si une simple mise à jour des packages sur une jessie corrige la faille ou non. Si c'est le cas, mea culpa.

        • [^] # Re: Rolling release

          Posté par . Évalué à -4.

          jessie semble vulnérable

          Jessie sera vulnérable encore 15 jours trois semaines. C'est dû au processus de validation des paquets. Ils rentrent dans sid, et si ça ne casse rien, au bout de 15 jours trois semaines, c'est automatiquement descendue dans "testing". Après, il est fortement déconseillé d'utiliser testing à d'autre fin que du test. Le bon choix reste stable ou sid.

        • [^] # Re: Rolling release

          Posté par (page perso) . Évalué à 4.

          Si personne ne s’occupe du paquet, ce n’est pas parce que c’est du rolling-release que ça changera quelque chose…

          Love – bépo

  • # dans Debian

    Posté par (page perso) . Évalué à 5.

    Dans Debian, la 1.0.1e-2+deb7u5 est ok, cf. https://security-tracker.debian.org/tracker/CVE-2014-0160 ;)

    ce commentaire est sous licence cc by 4 et précédentes

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.