Formation par Olivier Duffez

Formation au référencement par Olivier Duffez, créateur de WebRankInfo !
Une formule efficace alliant théorie et pratique, avec une haute disponibilité des intervenants
Cette formule a déjà convaincu plusieurs centaines d'entreprises, pourquoi pas vous ?
Réservez vite votre place en ligne (convention possible pour imputer sur le budget formation)

Formation référencement Marseille

Important : faille OpenSSL sur distribs Debian 4 (Etch)
Poster un nouveau sujet Imprimer cette discussion    Forum -> Administration d'un site Web   Les dernières discussions de ce forum sont disponibles au format RSS
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
 
LeMulotNocturne
WRInaute passionné
WRInaute passionné

Inscrit le: 01 Juin 2005
Messages: 594
Localisation: Lyon
URL permanente de ce messagePosté le : Ven Mai 16, 2008 12:20    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
Bonjour à tous,

désolé si l'info a déjà été postée, mais il vaut mieux enfoncer le clou pour ceux qui ont des serveurs dédiés sous Debian 4 et qui font du SSL (SSH, https, etc...). A priori, les vielles versions de Debian (3.1 par ex.) ne sont pas affectées.

http://linuxfr.org/2008/05/15/24092.html

Exclamation Soyez particulirement vigilents si votre accès SSH se fait par clef SSL et non pas par password.
 
LeMulotNocturne Visiter le site web du posteur
Julia41
WRInaute impliqué
WRInaute impliqué

Inscrit le: 31 Aoû 2007
Messages: 406
Localisation: Oléron
URL permanente de ce messagePosté le : Ven Mai 16, 2008 12:58    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
L'exploit consiste à générer toutes les clés pour le login qui sont normalement aléatoire mais qui sur la version ETCH ont été généré avec un randomn non randomn, et donc ne sont pas aléatoire.

Sous SID, ils ont sorti un petit tool pour voir si vos systèmes sont sensibles ou non, à partir d'une blacklist de fingerprint...

Code:

ssh-keyscan -t rsa,dsa -p 22 <IP> | ssh-vulney -


Sur webrankinfo par exemple, depuis ce matin c'est corrigé :
Code:

gd09:~# ssh-keyscan -t rsa,dsa -p 22 www.webrankinfo.com | ssh-vulnkey -
# www.webrankinfo.com SSH-2.0-OpenSSH_xx Debian-xetch1
# www.webrankinfo.com SSH-2.0-OpenSSH_xx Debian-xetch1
Not blacklisted: 1024 XX:65:53:35:27:6c:c8:f4:29:bd:82:XX:76:e4:72:22 www.webrankinfo.com
Not blacklisted: 2048 XX:65:ae:8d:56:3e:f0:18:d1:4e:06:XX:24:ad:1b:93 www.webrankinfo.com


Edit : exemple de clés compromises :

Code:

gd09:~# ssh-keyscan -t rsa,dsa -p 22 XXX.com | ssh-vulnkey -
# XXX.com SSH-2.0-OpenSSH_4.3p2 Debian-9
# XXX.com SSH-2.0-OpenSSH_4.3p2 Debian-9
COMPROMISED: 1024 b4:ae:d4:6b:66:9a:b8:b6:2d:ab:91:04:a4:92:06:61 XXX.com
COMPROMISED: 2048 e9:69:a8:b3:4d:3b:23:fa:a4:44:8d:bf:58:26:6f:e3 XXX.com


C'est plutôt urgent et je vous conseille de bien tester votre système...
Les clés OVH ont un from, il y a donc aucun risque pour ce genre de chose.
 
Julia41 Visiter le site web du posteur
pierre_jean
WRInaute impliqué
WRInaute impliqué

Inscrit le: 06 Avr 2005
Messages: 300
URL permanente de ce messagePosté le : Ven Mai 16, 2008 13:37    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
merci pour l'info.

ou trouver l'outil ssh-vulnkey ?

Edit :

pensez à faire un update avant d'installer les paquets blacklist

merci

Dernière édition par pierre_jean le Ven Mai 16, 2008 13:50; édité 3 fois
 
pierre_jean
Ron56
WRInaute passionné
WRInaute passionné

Inscrit le: 20 Nov 2005
Messages: 649
URL permanente de ce messagePosté le : Ven Mai 16, 2008 13:42    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
Moi jvais me renseigner sur les systèmes BSD Smile
 
Ron56 Visiter le site web du posteur
jcaron
WRInaute impliqué
WRInaute impliqué

Inscrit le: 13 Fév 2004
Messages: 481
Localisation: Paris
URL permanente de ce messagePosté le : Ven Mai 16, 2008 13:43    Sujet du message: Re: Important : faille OpenSSL sur distribs Debian 4 (Etch)
LeMulotNocturne a écrit:
Bonjour à tous,

désolé si l'info a déjà été postée, mais il vaut mieux enfoncer le clou pour ceux qui ont des serveurs dédiés sous Debian 4 et qui font du SSL (SSH, https, etc...). A priori, les vielles versions de Debian (3.1 par ex.) ne sont pas affectées.

http://linuxfr.org/2008/05/15/24092.html

Exclamation Soyez particulirement vigilents si votre accès SSH se fait par clef SSL et non pas par password.


Attention: le problème est visiblement nettement pire que ça: tout serveur (quel que soit l'OS) qui a des clefs qui ont été générées sur une Debian (ou dérivé genre Ubuntu...) affectée (toutes les versions depuis 2 ans!) est vulnérable (à divers degrés bien entendu).

En particulier tout serveur SSH avec des "authorized_keys" générées sur ces machines permet de se connecter comme l'utilisateur qui a installé cette clef.

Pas cool.

Jacques.
 
jcaron Visiter le site web du posteur
LeMulotNocturne
WRInaute passionné
WRInaute passionné

Inscrit le: 01 Juin 2005
Messages: 594
Localisation: Lyon
URL permanente de ce messagePosté le : Ven Mai 16, 2008 14:25    Sujet du message: Re: Important : faille OpenSSL sur distribs Debian 4 (Etch)
jcaron a écrit:
Attention: le problème est visiblement nettement pire que ça: tout serveur (quel que soit l'OS) qui a des clefs qui ont été générées sur une Debian (ou dérivé genre Ubuntu...) affectée (toutes les versions depuis 2 ans!) est vulnérable (à divers degrés bien entendu).

En particulier tout serveur SSH avec des "authorized_keys" générées sur ces machines permet de se connecter comme l'utilisateur qui a installé cette clef.


oui, absolument tu as raison de me rectifier !
C'est bien la galère ce truc là...
 
LeMulotNocturne Visiter le site web du posteur
Ohax
WRInaute accro
WRInaute accro

Inscrit le: 05 Juil 2004
Messages: 6337
Localisation: Meurthe et Moselle (54) - à Toul (proche Nancy)
URL permanente de ce messagePosté le : Ven Mai 16, 2008 20:31    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
La commande est fausse, c'est

Citation:
ssh-keyscan -t rsa,dsa -p 22 <IP> | ssh-vulnkey -
 
Ohax Visiter le site web du posteur
Julia41
WRInaute impliqué
WRInaute impliqué

Inscrit le: 31 Aoû 2007
Messages: 406
Localisation: Oléron
URL permanente de ce messagePosté le : Ven Mai 16, 2008 21:32    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
Ohax a écrit:
La commande est fausse, c'est

Citation:
ssh-keyscan -t rsa,dsa -p 22 <IP> | ssh-vulnkey -

Que ferait-on pas pour augmenter son nombre de post ^^

En passant, l'exploit commence à bien circuler donc mettez à jour ^^
 
Julia41 Visiter le site web du posteur
Monty973
WRInaute accro
WRInaute accro

Inscrit le: 21 Mar 2006
Messages: 1523
URL permanente de ce messagePosté le : Ven Mai 16, 2008 21:44    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
Julia41 a écrit:
... normalement aléatoire mais qui sur la version ETCH ont été généré avec un randomn non randomn, et donc ne sont pas aléatoire.




^^
 
Monty973 Visiter le site web du posteur
Julia41
WRInaute impliqué
WRInaute impliqué

Inscrit le: 31 Aoû 2007
Messages: 406
Localisation: Oléron
URL permanente de ce messagePosté le : Ven Mai 16, 2008 23:07    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
Monty973 a écrit:
Julia41 a écrit:
... normalement aléatoire mais qui sur la version ETCH ont été généré avec un randomn non randomn, et donc ne sont pas aléatoire.




^^


Ca fait 2 ! Arrow
 
Julia41 Visiter le site web du posteur
colonies
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 10 Sep 2006
Messages: 178
URL permanente de ce messagePosté le : Lun Mai 19, 2008 15:30    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
dans le même genre :
 
colonies Visiter le site web du posteur
2dm
WRInaute occasionnel
WRInaute occasionnel

Inscrit le: 03 Sep 2002
Messages: 202
Localisation: Irlande - Dublin
URL permanente de ce messagePosté le : Lun Juin 02, 2008 10:45    Sujet du message: Important : faille OpenSSL sur distribs Debian 4 (Etch)
Julia41 a écrit:

Ca fait 2 !


Ce qui est le nombre de ligne modifié dans le patch qui a causé le problème.
Ce qui est tout de même étonnant.

Si la modification de deux lignes par un contributeur n'est pas vérifié, alors on peut se demander quelles sont les contributions qui le sont véritablement.
 
2dm Visiter le site web du posteur
 
Montrer les messages depuis:   
Revenir en haut    Forum -> Administration d'un site Web Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1 - 
Connexion
Nom d'utilisateur:    Mot de passe:      Se connecter automatiquement à chaque visite    

Autres sujets de discussion :

CLIQUEZ ICI pour vous inscrire à WebRankInfo (forum, annuaire, outils...)

Connexion

© 2001-2005 phpBB Group, support français
Personnalisation : WebRankInfo ™

 ODP  Firefox  Alsacreations  annuaire webmaster Yagoort