9 Apr
2014
9 Apr
'14
9:17 p.m.
Une faille de sécurité dans l'implémentation du 'heartbeat' dans SSL/TLS
et les serveurs deviennent bavards.
( même la radio en parle )...
Bruce Schneier 'LE' spécialiste mondialement reconnu a dit "Sur une
échelle de 1 à 10, ceci est un 11".
http://heartbleed.com/
- Pour ceux qui font tourner des serveurs (ou de applications )
utilisant openssl :
Si vous avez des serveurs qui utilisent openssl version 1.0.1x ( x < 'g'
) , il est impératif de passer de toute urgence à openssl 1.0.1g ou bien
de recompiler votre openssl sans le support du heartbeat.
- Pour tous les utilisateurs, il est conseillé de changer vos mots de
passe. Etant donné que la sécurité des serveurs a pu être compromise
celles de vos données aussi.
[ Cette faille n'affecte pas ssh qui même s'il utiliise openssl
n'utilise que la partie crypto et non la partie protocolaire ssl ]
9 Apr
9 Apr
10:01 p.m.
Coucou Philippe et les pingouinots,
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du
'heartbeat' dans SSL/TLS
et les serveurs deviennent bavards.
( même la radio en parle )...
Bruce Schneier 'LE' spécialiste mondialement reconnu a dit "Sur une
échelle de 1 à 10, ceci est un 11".
http://heartbleed.com/
- Pour ceux qui font tourner des serveurs (ou de applications )
utilisant openssl :
Si vous avez des serveurs qui utilisent openssl version 1.0.1x ( x < 'g'
) , il est impératif de passer de toute urgence à openssl 1.0.1g ou bien
de recompiler votre openssl sans le support du heartbeat.
- Pour tous les utilisateurs, il est conseillé de changer vos mots de
passe. Etant donné que la sécurité des serveurs a pu être compromise
celles de vos données aussi.
[ Cette faille n'affecte pas ssh qui même s'il utiliise openssl
n'utilise que la partie crypto et non la partie protocolaire ssl ]
Complément :
Et recommande tout un tas de mesures: changer ces certificats SSL, ses
mots de passe (mais uniquement sur les sites dont on sait qu’il sont
sûrs), etc.
Pour tester si un site est sûr: http://filippo.io/Heartbleed/
pour les sites déjà en httpS → <URL:http://possible.lv/tools/hb/>
Salutations ensoleillées,
--
Véronique Fritière ~ Linux ? C'est le luxe !
Linuxazuréenne http://www.linux-azur.org
Afulienne https://aful.org
Chef de projet Multimédia http://webverow.com
10 Apr
10 Apr
2:08 p.m.
Le 09/04/2014 21:17, pl a écrit :
Une faille de sécurité dans l'implémentation du
'heartbeat' dans SSL/TLS
et les serveurs deviennent bavards.
( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
--
Véronique Fritière ~ Linux ? C'est le luxe !
Linuxazuréenne http://www.linux-azur.org
Afulienne https://aful.org
Chef de projet Multimédia http://webverow.com
11:54 p.m.
Le 10/04/2014 14:08, Véronique Fritière a écrit :
Le 09/04/2014 21:17, pl a écrit :
Si j'ai bien compris, il ne faut pas changer les mots de passe et autres
sans avoir vérifié l'intégrité des sites,
sinon il vaut mieux attendre que le ménage soit fait....
Quant aux certificats, comment les vérifier ?
Merci d'avance d'aider les bisuths
AM Dubois
Une faille de sécurité dans l'implémentation
du 'heartbeat' dans SSL/TLS
et les serveurs deviennent bavards.
( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
11 Apr
11 Apr
7:45 a.m.
On 10/04/2014 23:54, Anne-Marie Dubois wrote:
Le 10/04/2014 14:08, Véronique Fritière a écrit :
Pour savoir si le site est
vulnerable il y a un site online :
http://filippo.io/Heartbleed/ , il existe aussi des programmes pour cela
(voir la mailling liste dev de openssl ).
Si le site est vulnerable il faut attendre :
- qu'il ne le soit plus
Alors on peut faire un premier changement de mot de passe.
mais le mieux et de faire un second changement de mot de passe lorsque
le site renouvelle sa clef privée et pour cela on peut -en gros -
vérifier que le début de date de validité de son certificat est après
la fin de vulnérabilité.
La vulnerabiblité n'affecte pas directement le certificat donc il n'est
pas possible de savoir si la clé privée a été compromise ou non.
Si les certificats ont été renouvellés correctement à cause de la
compromission de clé, le certificat précédant doit avoir été révoqué,
mais c'est tout une histoire...
Il est aussi possible que meme avec heartbleed la clé privée n'est pas
été volée, pour des sites plus confidentiels, il faut quand même mener
une attaque active et la répéter de nombreuses fois pour avoir la chance
d'obtenir la clé privé du serveur dans les 64Ko obtenus du serveur,
l'attaquant ne controlant pas ce qu'il y a dans la mémoire du serveur de
façon deterministe.
Le 09/04/2014 21:17, pl a écrit :
Si j'ai bien compris, il ne faut pas changer les mots de passe et
autres sans avoir vérifié l'intégrité des sites,
sinon il vaut mieux attendre que le ménage soit fait....
Quant aux certificats, comment les vérifier ?
Merci d'avance d'aider les bisuths
AM Dubois
_______________________________________________
Linux06 mailing list
Linux06(a)lists.linux-azur.org
https://lists.linux-azur.org/mailman/listinfo/linux06 Une faille de sécurité dans l'implémentation
du 'heartbeat' dans
SSL/TLS
et les serveurs deviennent bavards.
( même la radio en parle )...
et le doute s'installe :
en anglais http://www.wired.com/2014/04/nsa-heartbleed/
Salutations ensoleillées,
3691
days inactive
3693
days old
4 comments
3 participants
participants (3)
-
Anne-Marie Dubois -
pl -
Véronique Fritière