Alerte!

Gerlec · Février 20, 2016, 5:38pm

Bonjour à tous.

Que penser de tout cela:
clubic.com/actualite-141172- … urite.html

themorice · Février 20, 2016, 5:38pm

Personnellement, c’est un gros bruit, faut arrêter de faire flipper les gens qui ne comprennent rien à rien…

fran.b · Février 20, 2016, 5:38pm

Ne pose pas trop de soucis pour un utilisateur donnée, par contre pour un serveur, il suffit d’installer la mise à jour de sécurité de openssh qui règle le problème. 64000 clefs sont désormais sous liste noire et ne peuvent servir à la connexion, l’amusant est que ce pbm est du à un patch d’un «empaquetteur» debian… Il a du se faire sonner les cloches…

[il y a quand même des kiddies script qui teste les clefs, donc non le pbm est réel pour un serveur et donc enquiquine pas mal de gens]

piratebab · Février 20, 2016, 5:38pm

Le fait que toutes les distributions basées sur debian n’est rien vu, signifie que:

soit ils se contrefoutes de la sécurité
soit Debian à une telle réputation de sécurité, que ça ne viendrait à personne de la remettre en cause.

panthere · Février 20, 2016, 5:38pm

[quote=“piratebab”]Le fait que toutes les distributions basées sur debian n’est rien vu, signifie que:

soit ils se contrefoutes de la sécurité
soit Debian à une telle réputation de sécurité, que ça ne viendrait à personne de la remettre en cause.[/quote]

Mhmm je pense que la securiter tien d’autres chose, peux de gens s’intéresse vraiment aux code, du coup les faille peuve être longue a trouver, car il faut la trouver pour pouvoir la corriger.

Quand on utilise une base de debian, on prend tout ce qui va avec. Gentoo permet de compiler et debian aussi

pour ma part si je devrai changer une distrib je m’en ferai une linux from scratch ai bon je connait pas suffisamment linux pour le moment.

ripat · Février 20, 2016, 5:38pm

Le problème est autant réel que décevant. Tout ça pour une correction “cosmétique” du code. Pour qu’il passe mieux la validation d’un scanneur de code. Problème réel mais assez relatif tout de même. Même si les kiddies font mumuse avec une des 32 768 clés possibles, il leur faut le user name tout de même non? Je viens de faire quelques essais. Il faut la clé et le nom d’utilisateur qui va bien sinon, du côté serveur, la réconciliation ne se fait pas. Ce qui fait pas mal de combinaisons possibles. Je me trompe? Bon, évidemment, si on autorise l’accès ssh à root c’est plus facile mais on répète à qui veut l’entendre que l’accès ssh root c’est mal.

Conclusion: oui c’est un problème réel, oui c’est décevant de la part de Debian mais pas de panique, ne débranchez pas vos serveurs. Prenez le temps de refaire vos clés à tête reposée. Mais faites-le!

Pour ceux qui tombent sur ce fil et qui aimeraient savoir comment faire:

viewtopic.php?f=3&t=14229
viewtopic.php?f=1&t=14196
viewtopic.php?f=1&t=14173

SGC.Alex · Février 20, 2016, 5:38pm

Et y’a le paquet openssh-blacklist qui vient de sortir aussi.

ripat · Février 20, 2016, 5:38pm

Oui, il est automatiquement installé lors de la mise à jour de sécurité d’openssh. Si, lors d’une tentative de connexion par clé, le serveur demande quand même un mdp, c’est que la clé est sur la liste noire à laquelle fran.b faisait allusion.