Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
Bruce Schneier 'LE' spécialiste mondialement reconnu a dit "Sur une échelle de 1 à 10, ceci est un 11".
- Pour ceux qui font tourner des serveurs (ou de applications ) utilisant openssl : Si vous avez des serveurs qui utilisent openssl version 1.0.1x ( x < 'g' ) , il est impératif de passer de toute urgence à openssl 1.0.1g ou bien de recompiler votre openssl sans le support du heartbeat.
- Pour tous les utilisateurs, il est conseillé de changer vos mots de passe. Etant donné que la sécurité des serveurs a pu être compromise celles de vos données aussi.
[ Cette faille n'affecte pas ssh qui même s'il utiliise openssl n'utilise que la partie crypto et non la partie protocolaire ssl ]
Coucou Philippe et les pingouinots,
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
Bruce Schneier 'LE' spécialiste mondialement reconnu a dit "Sur une échelle de 1 à 10, ceci est un 11".
- Pour ceux qui font tourner des serveurs (ou de applications )
utilisant openssl : Si vous avez des serveurs qui utilisent openssl version 1.0.1x ( x < 'g' ) , il est impératif de passer de toute urgence à openssl 1.0.1g ou bien de recompiler votre openssl sans le support du heartbeat.
- Pour tous les utilisateurs, il est conseillé de changer vos mots de
passe. Etant donné que la sécurité des serveurs a pu être compromise celles de vos données aussi.
[ Cette faille n'affecte pas ssh qui même s'il utiliise openssl n'utilise que la partie crypto et non la partie protocolaire ssl ]
Complément :
Et recommande tout un tas de mesures: changer ces certificats SSL, ses mots de passe (mais uniquement sur les sites dont on sait qu’il sont sûrs), etc.
Pour tester si un site est sûr: http://filippo.io/Heartbleed/
pour les sites déjà en httpS → URL:http://possible.lv/tools/hb/
Salutations ensoleillées,
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
Le 10/04/2014 14:08, Véronique Fritière a écrit :
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
Si j'ai bien compris, il ne faut pas changer les mots de passe et autres sans avoir vérifié l'intégrité des sites, sinon il vaut mieux attendre que le ménage soit fait.... Quant aux certificats, comment les vérifier ? Merci d'avance d'aider les bisuths AM Dubois
On 10/04/2014 23:54, Anne-Marie Dubois wrote:
Le 10/04/2014 14:08, Véronique Fritière a écrit :
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS et les serveurs deviennent bavards. ( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
Si j'ai bien compris, il ne faut pas changer les mots de passe et autres sans avoir vérifié l'intégrité des sites, sinon il vaut mieux attendre que le ménage soit fait.... Quant aux certificats, comment les vérifier ? Merci d'avance d'aider les bisuths AM Dubois
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Pour savoir si le site est vulnerable il y a un site online : http://filippo.io/Heartbleed/ , il existe aussi des programmes pour cela (voir la mailling liste dev de openssl ).
Si le site est vulnerable il faut attendre : - qu'il ne le soit plus Alors on peut faire un premier changement de mot de passe. mais le mieux et de faire un second changement de mot de passe lorsque le site renouvelle sa clef privée et pour cela on peut -en gros - vérifier que le début de date de validité de son certificat est après la fin de vulnérabilité.
La vulnerabiblité n'affecte pas directement le certificat donc il n'est pas possible de savoir si la clé privée a été compromise ou non. Si les certificats ont été renouvellés correctement à cause de la compromission de clé, le certificat précédant doit avoir été révoqué, mais c'est tout une histoire... Il est aussi possible que meme avec heartbleed la clé privée n'est pas été volée, pour des sites plus confidentiels, il faut quand même mener une attaque active et la répéter de nombreuses fois pour avoir la chance d'obtenir la clé privé du serveur dans les 64Ko obtenus du serveur, l'attaquant ne controlant pas ce qu'il y a dans la mémoire du serveur de façon deterministe.
-
Anne-Marie Dubois -
pl -
Véronique Fritière