Lien Comment éviter un apocalypse géopolitique sur l'open-source
14
oct.
2024
Lien regreSSHion: RCE in OpenSSH's server, on glibc-based Linux systems
1
juil.
2024
Journal Alerte rouge! RCE dans opensshd
1
juil.
2024
Bonjour Nal,
certains jours, des certitudes disparaissent. Par exemple, le résultat aux élections, ou des softs qu'on pensait durs comme l'acier. Mais certains matins sont plus douloureux que d'autres. Et ce matin, entre autre, j'ai lu qu'openssh est vulnérable! (cris, hurlements, grincements de dents, etc..).
Et oui, certains chercheurs en sécu ont réussi l'impensable: ils possèdent une RCE sur opensshd. Et c'est grave.
Avant de courir les bras en l'air en disant 'onoz' ou d'arracher les cables RJ45 des datacenters (…)
XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois
31
mar.
2024
Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.
L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
Journal Xz (liblzma) compromis
29
mar.
2024
Bonjour à tous,
La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.
Tous les détails de la faille de sécurité sont donnés là (…)
Forum Linux.général Sélection des algos pour openssh
12
jan.
2024
Bonjour,
Je cherche à faire le ménage dans les algos autorisés sur mon serveur openssh (pas d'accès public) et j'ai du mal à trouver des ressources à jour.
Je suis retombé sur ce super post: https://linuxfr.org/news/openssh-configuration-des-algorithmes-de-cryptographie mais il date de quelques années et les liens pointés ne sont également plus mis à jour depuis au mieux 2 ans, ce qui me parait un peu vieux.
- ANSSI (https://cyber.gouv.fr/sites/default/files/2014/01/NT_OpenSSH.pdf) - date de 2015
- sshscan (https://github.com/evict/SSHScan) - (…)
Forum Linux.debian/ubuntu SSH cassé: "client_input_hostkeys: no new or deprecated keys from server"
19
juin
2022
Bonjour,
Je n'arrive plus à me connecter sur ma machine Debian 11 testing.
J'ai testé depuis une Manjaro et une Linux Mint et je n'ai pas les mêmes infos fournies par l'option verbose.
Depuis Manjaro:
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: client_input_hostkeys: searching /root/.ssh/known_hosts for 192.168.1.55 / (none)
debug1: client_input_hostkeys: searching /root/.ssh/known_hosts2 for 192.168.1.55 / (none)
debug1: client_input_hostkeys: hostkeys file /root/.ssh/known_hosts2 does not exist
debug1: client_input_hostkeys: no new or deprecated keys from server
debug2: channel_input_open_confirmation: channel 0: callback startLien OpenSSH 9.0 s'ouvre vers le post-quantique
8
avr.
2022
Forum Linux.général Impossible d'accéder à virt-manager à distance via SSH avec Gnu GuixSD
30
nov.
2020
Bonjour,
J'aimerai pouvoir accéder via virt-manager depuis un ordinateur tournant sur Gnu Guix SD à mes machines virtuelles présent sur un autre ordinateur.
virt-manager utilise SSH pour accéder au ordinateur à distance.
J'ai configure les clées SSH pour accéder à mon ordinateur distant, la connection ssh se fait sans aucun souci.
Cependant pour pouvoir se connecter à distance à travert virt-manager il faut installer le paquet gnome-ssh-askpass.
En cherchant sur la dépôt de package gnu guix je n'ai pas trouvé (…)
Forum Linux.debian/ubuntu Le serveur ssh plante après 20 minutes (debian)
14
avr.
2020
J'ai installé sur mon pi raspbery (debian buster) un serveur nextcloud.
J'essaie de me connecter à mon serveur avec ssh mais, j'obtiens ceci :
$ ssh pi@192.168.1.36
> ssh : connect to host 192.168.1.36 port 22 : Connexion refusée
Sur mon serveur, je lance la commande : sudo systemctl status sshd, j'obtiens :
● ssh.service - Serveur OpenBSD Secure Shell
Loaded : chargé (/lib/systemd/system/ssh.service ; activé ; vendor preset : activé)
Actif : échec (Résultat : code de sortie) depuisForum Linux.général Authentification ssh avec deux comptes gitlab.com et deux pairs de clés
20
oct.
2019
Hello,
Cela fait 6 jours que je me casse la tête et que je n'arrive pas à gérer deux comptes gitlab.com différents avec deux clés publiques différentes sur le même compte Linux.
Il s'agit bien de deux compte gitlab.com et non de "private gitlab server".
J'ai créé deux pairs de clés dans ~/.ssh et sur chacun des comptes gitlab j'ai poussé la clé publique correspondante.
Cependant lorsque je veux faire un git clone d'un projet sur mon compte gitlab pro (…)
« Internet est cassé » ou plutôt : comment tester du TCP ou de l’UDP
3
juil.
2019
N. D. L. A. : cet article est généré via une commande du type ansible-playbook InternetEstCassé.yml pour tester réellement les commandes.
Internet est cassé. Le Web ne marche plus. Le réseau est pété. Ça marche pas. Ce site est indisponible. Des lutins bloquent ma connexion. Les tuyaux sont bouchés. Y a Firefox qui veut pas, etc. Quand il y a un souci de réseau, toutes sortes d’imprécations, de suppositions, de supplications ou de raisons sont lancées. Peut‐on aller plus loin et essayer d’y voir plus clair, de déboguer un peu le souci et d’identifier le problème.
On va parler un peu d'IP — surtout la version 4 —, de TCP, d’UDP, d’ICMP, d’ARP, de DNS, de HTTP, etc., d’un peu de vue pratique de vérification du bon fonctionnement ou de recherche d’un souci. En dehors des pages Wikipédia, une lecture utile : la RFC 1180 « A TCP/IP Tutorial » (avec une traduction en français disponible).
Parution d’OpenSSH 8.0
24
avr.
2019
OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.
Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.
Lien ForSSHe : Analyse de 21 familles de logiciels malveillants
13
déc.
2018
OpenSSH 7.9
25
oct.
2018
OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.
Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.