Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par BillyTheKid le 18 mars 2004 à 15:21. Modéré par Nÿco.

Étiquettes :

mar.

2004

Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Aller plus loin

Advisory FR - OpenSSL SSL/TLS Handshake Denial of Service (4 clics)
Advisory EN (1 clic)
Liste des mises à jour par distribution (2 clics)

# Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par GnunuX (site web personnel) le 18 mars 2004 à 15:36. Évalué à 1.

Pour ceux que ca interesse, la mise a jour du paquetage slack 9.1 :

p://ftp.slackware.com/pub/slackware/slackware-9.1/patches/packages/openssl-0.9.7d-i486-1.tgz
# Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par MsK` le 18 mars 2004 à 15:41. Évalué à 2.

package dispo sous slack
package dispo sous gentoo
c'est beau internet ca va vite :) ( sauf quand ca merde )
- [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
  
  Posté par Stéphane Blaise (site web personnel) le 18 mars 2004 à 16:01. Évalué à 2.
  
  package dispo sous debian
  - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
    
    Posté par Paul POULAIN (site web personnel) le 18 mars 2004 à 18:28. Évalué à 2.
    
    idem mandrake
    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)
  - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
    
    Posté par yxorp le 21 mars 2004 à 17:29. Évalué à 1.
    
    Oui, oui, ben ce n'est pas une exclusivité Debian, toutes les grandes distributions avaient intégré les correctifs dans les heures qui suivaient l'annonce, comme l'indique d'ailleurs le dernier lien de cet article.
    - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
      
      Posté par yxorp le 21 mars 2004 à 17:35. Évalué à 1.
      
      Oh, désolé, je n'avais point vu qu'il y avait tant de réponses, j'ai du atterir sur la page du commentaire au lieu de celle de l'article. D'où mon commentaire précédent ... (:-X
      
      si j'avais su, j'aurais pas répondu.
# Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par mat1 le 18 mars 2004 à 16:02. Évalué à 1.

Pour connaitre les distributions qui ont apporté un fix :
http://lwn.net/Articles/76158/(...)

La page est mise à jour.
- [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
  
  Posté par tgl le 18 mars 2004 à 17:46. Évalué à 1.
  
  Pas si à jour que ça, par exemple l'annonce gentoo d'hier n'y est toujours pas (ou alors gentoo ne fait pas partie des distribs considérées). Enfin quoi qu'il en soit, mieux vaut compter sur la/les ML (ou le/les RSS ou je ne sais quoi encore) spécifique à votre/vos distrib(s) que sur ce genre de compilation, dont l'intérêt (à part à s'amuser à faire des stats sur la réactivité des différentes distribs) me parait finallement limité.
  - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
    
    Posté par mat1 le 18 mars 2004 à 18:09. Évalué à -1.
    
    > Pas si à jour que ça, par exemple l'annonce gentoo d'hier n'y est toujours pas
    
    Non, l'annonce a été faite aujourd'hui à 5:58 am (heure us ?)
    http://forums.gentoo.org/viewtopic.php?t=150561(...)
    - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
      
      Posté par tgl le 18 mars 2004 à 20:00. Évalué à 1.
      
      Le forum Gentoo, c'est pas la source des GLSA, c'est... un forum de discussion. L'annonce est du 17 (états-unien par contre en effet, et j'ai pas l'heure, et j'en ai rien à foutre, donc je ne saurai dire si on était déjà le 18 en France). Ce que je sais, c'est que ce matin au réveil j'avais l'annonce et le paquet. Bref, tout ça pour confirmer qu'il ne vaut mieux pas attendre LWN pour les annonces de sécurités puisqu'elles émanent des distribs de toute façon, et que donc ce genre de pages ne peux servir qu'à montrer du doigt de prétendus retardataires. Merci à toi d'avoir si bien joué le rôle du doigt pour illustrer mon propos.
      - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
        
        Posté par mat1 le 18 mars 2004 à 23:03. Évalué à 1.
        
        Que tu me dises que lwn.net n'est pas la source de référence pour gentoo n'est vraiment surprenant.
        
        Que gentoo fournisse une liste de diffusion pour les trous de sécurité est d'une banalité affligeante.
        
        Que tu restifies le fait que Gentoo a déjà fait un correctif contrairement à ce qu'indique lwn.net, est parfait et bienvenu.
        
        Que tu ne sois pas très heureux que Gentoo soit pointé du doigt est compréhensible.
        
        Par contre que tu critiques lwn.net est nul.
        lwn.net fourni peut-être la meilleur synthèse sur les trous de sécurités. Qu'il générère un peu de compétion entre les distributions est bienvenu. De plus si un jours Gentoo traine *réellement* pour faire un correctif, comment tu le sais si ta seule source d'information c'est Gentoo ?
        
        Ce trou de sécurité je l'ai apris sur lwn.net. Et je peux te dire que ma distribution préférée n'a pas encore de correctif (source lwn.net et officielle). Que lwn.net lui mette un peu de pression ne peut pas lui fait de mal.
        
        [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
        
        Posté par tgl le 19 mars 2004 à 03:12. Évalué à 1.
        
        Que gentoo fournisse une liste de diffusion pour les trous de sécurité est d'une banalité affligeante.
        
        Évidemment que c'est banal, encore heureux pour les autres distribs, et je ne prétends pas le contraire, mais vois mal ce que ça a d'affligeant. T'as franchement une drôle de tournure d'esprit pour répondre des trucs pareils. Tu espères quoi ? Avoir le dernier mot cinglant quand je me serai lassé, histoire que soit consignée à jamais dans la grande mémoire du web ta victoire dérisoire à la petite joute que tu te seras inventée ? Ça ce serait affligeant.
        
        Que tu ne sois pas très heureux que Gentoo soit pointé du doigt est compréhensible.
        
        Merci de ta condescendance, mais je ne parlais pas pour gentoo en particulier, c'était un exemple. Une grosse moitié des annonces du 17 ne sont arrivées que ce soir sur LWN. Cette journée de décalage ceci-dit, je n'avais même pas pensé à la base que ça pouvais servir un troll, c'est toi qui me l'as montré en cherchant maladroitement à me contredire sur un détail dont tu aurais pourtant dû te foutre royalement.
        
        Par contre que tu critiques lwn.net est nul.
        lwn.net fourni peut-être la meilleur synthèse sur les trous de sécurités.
        
        Je ne critique pas LWN sur leurs rapports des trous de sécurités des logiciels, qui est effectivement souvent rapide. Et être informé vite d'une faille de openssl, c'est très bien, et merci à LWN de permettre ça, alleluia.
        Par contre je trouve inutile leur synthèse des annonces distrib par distrib, parceque c'est forcement du différé (avec des délais manifestement aléatoires) de ce qui est annoncé en premier lieu sur les mailing lists dédiées des distributions. C'est pas pour les flamer, je m'en fous qu'ils fassent cette page, c'est juste pour rappeler qu'il vaut bien mieux s'abonner à la mailing de sa distrib que de surveiller ça. En bref, je voulais modérer un peu l'enthousiasme du post initial de ce thread, point.
        
        [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
        
        Posté par mat1_3 le 20 mars 2004 à 00:35. Évalué à 1.
        
        > mais vois mal ce que ça a d'affligeant.
        
        C'est la banalité qui est affligeante. Moi aussi je suis abonné à une mailing list pour avoir les correctifs. Mais t'as raison, l'espression est malvenue (comme souvent quand elle est utilisée :-)).
      - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
        
        Posté par mat1 le 19 mars 2004 à 03:00. Évalué à -1.
        
        Rassures toi, Gentoo est dans la liste et a la bonne date :
        http://lwn.net/Articles/76158/(...)
# Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par Matho (site web personnel) le 18 mars 2004 à 16:06. Évalué à 5.

Sachant qu'il existe 250 distribution linux, dans le prochain FUD de Microsoft, on verra "250 vulnérabilités pour Linux en mars 2004" contre 50 pour Microsoft. Les systèmes Microsoft sont 5 fois plus sûr que Linux. Source idc"

----> je []
- [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
  
  Posté par Olivier (site web personnel) le 18 mars 2004 à 16:17. Évalué à 2.
  
  Heureusement, toutes les 250 distributions Linux n'utilisent pas OpenSSL !
- [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
  
  Posté par dguihal le 18 mars 2004 à 17:28. Évalué à 2.
  
  T'as oublié le fait qu'il y a trois vulnerabilités, ce qui fait :
  3*250 = 750 Vulnerabilités,
  
  Linux est donc 15 fois moins sûr .....
  
  Bon, moi aussi je vais faire un tour ---->[]
  - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
    
    Posté par Mickaël Sibelle (site web personnel) le 18 mars 2004 à 17:49. Évalué à 3.
    
    Vous avez oublié que Linux c'est 5 fois plus puissant que Windows :
    Linux est donc 45 fois plus dangereux que Windows !
    
    On me voit
    --> []
    on me voit plus
    - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
      
      Posté par imalip le 18 mars 2004 à 18:11. Évalué à 2.
      
      ah ! t'as fait ta multiplication avec un linux pas secure, toi.
      
      15 * 5 = ..... 45 ?
      
      Voyons, ma libssl pas mise a jour me dit que ca fait
      58.632145257
      
      Un peu de rigueur s'il vous plait !
      - [^] # Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL
        
        Posté par calandoa le 19 mars 2004 à 00:09. Évalué à 1.
        
        Ben oui mais tu utilises un float!
        
        forcement le résultat est arrondi (http://linuxfr.org/~clemyeats/10547.html(...)), à moins de l'exprimer en base 7 :
        
        112.42655315416

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.