Faille OpenSSL

J’en doute Debian a sortie la correction quelques heures (~ 4h) après le CVE.

StartSSL ?

J’en doute Debian a sortie la correction quelques heures (~ 4h) après le CVE.[/quote]

Pour mes serveurs persos c’est debian, mais serveur ubuntu pour le boulot, la màj était là lundi.
Ou alors je confonds de nouveau les jours.

[quote=“MisterFreez”]

StartSSL ?[/quote]

C’est ce que je cite plus haut ( startcom ) : 25$ par révocation, pas de certificats multi-domaines ( ou wildcard ) pour le premier niveau, c’est embêtant.

A ma connaissance CA-cert et StartCom sont les 2 seules qui te permettent d’avoir autre chose que de l’auto signé … sinon je pense être passé au travers du dangé vue que mon serveur est encore en Wheezy :mrgreen: pour une fois qu’être en retard a du bon :023

Je vous rassure j’ai prévue de changé tout ça mais j’ai des problème de conf avec OpenSmtpd :12

Merci, tu confirmes ce que je pensais déjà.
Va falloir passer au payant bientôt alors…

Tu voulais dire Squeeze, n’est-ce pas ?

Heuu oui, désolé je mélange :blush:

2 articles dans Libe qui résument bien je trouve.

Encore une mise à jour de sécurité (stable) concernant openssl ce matin.
Comment ça se fait?

Montre :
[code]openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Fix CVE-2010-5298: use-after-free race condition.
  * Add a versioned dependency from openssl to libssl1.0.0 to a version
    that has the fix for CVE-2014-0160 (Closes: #744194).
  * Propose restarting prosody on upgrade (Closes: #744871).
  * Correctly detect apache2 installations and propose it to be
    restarted (Closes: #744141).
  * Add more services to be checked for restart.
  * Fix a bug where the critical flag for TSA extended key usage is not
    always detected, and two other similar cases.
  * Add support for 'libraries/restart-without-asking', which allows
    services to be restarted automatically without prompting, or
    requiring a response instead.
  * Fix CVE-2014-0076: "Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack"
    (Closes: #742923).

 -- Raphael Geissert <geissert@debian.org>  Thu, 17 Apr 2014 22:11:33 +0200[/code]
Donc ça corrige 3 failles (CVE-2014-0076, CVE-2014-0160 et CVE-2010-5298) et ça améliore les propositions de services à relancer pour correctement prendre en compte la nouvelle version. Il faut s'attendre à quelques mises à jours d'OpenSSL dans les prochaines semaines/mois, il y a actuellement pas mal de monde qui y jette un œil. C'est un effet de la faille.

Je présume que GnuTLS va un peu gagner en popularité (ainsi que d'autres bibliothèques moins connues).

Montre :

[code]openssl (1.0.1e-2+deb7u7) wheezy-security; urgency=high

  • Non-maintainer upload by the Security Team.
  • Fix CVE-2010-5298: use-after-free race condition.
  • Add a versioned dependency from openssl to libssl1.0.0 to a version
    that has the fix for CVE-2014-0160 (Closes: #744194).
  • Propose restarting prosody on upgrade (Closes: #744871).
  • Correctly detect apache2 installations and propose it to be
    restarted (Closes: #744141).
  • Add more services to be checked for restart.
  • Fix a bug where the critical flag for TSA extended key usage is not
    always detected, and two other similar cases.
  • Add support for ‘libraries/restart-without-asking’, which allows
    services to be restarted automatically without prompting, or
    requiring a response instead.
  • Fix CVE-2014-0076: “Yarom/Benger FLUSH+RELOAD Cache Side-channel Attack”
    (Closes: #742923).

– Raphael Geissert geissert@debian.org Thu, 17 Apr 2014 22:11:33 +0200[/code]
Donc ça corrige 3 failles (CVE-2014-0076, CVE-2014-0160 et CVE-2010-5298) et ça améliore les propositions de services à relancer pour correctement prendre en compte la nouvelle version. Il faut s’attendre à quelques mises à jours d’OpenSSL dans les prochaines semaines/mois, il y a actuellement pas mal de monde qui y jette un œil. C’est un effet de la faille.

Je présume que GnuTLS va un peu gagner en popularité (ainsi que d’autres bibliothèques moins connues).

Et même lancer de nouveau fork :
linuxfr.org/users/anaseto/journa … -d-openssl

[quote=“Mimoza”]Et même lancer de nouveau fork :
linuxfr.org/users/anaseto/journa … -d-openssl[/quote]
De ce que j’ai compris (je peux me planter et ça a pu évoluer), c’est pas encore un fork. Ils proposent des patches et voient si ça va être intégré.

À noter qu’ils sont 4 à développer openssl…

Merci pour l’info.
Je n’avais jamais fait gaffe aux changelogs sans parler de zless.
Linux c’est cool quand même.

Aucun des mes serveurs n’est en wheezy à ce jour, la old-stable a du bon des fois :slightly_smiling:

En plus oldstable voit sa retraite repoussée.

https://www.debian.org/News/2014/20140424

Pour les moins anglophobes d’entre nous (humour!), une série de diapos de Bob Beck, un dev OpenBSD, qui présente LibreSSL à la conférence BSDCan 2014

openbsd.org/papers/bsdcan14- … index.html

rien que pour les images ça vaut le coup :stuck_out_tongue:

la même chose, en vidéo
youtube.com/watch?v=GnBbhXBDmwU
(pour les moins anti-youtube et anglophobes d’entre nous)

Merci agentsteel. Excellent ! Mes passages préférés : l’aléatoire, c’est le boulot du système d’exploitation ; La fondation Linux n’a pas répondu aux sollicitations. Conclusions : difficile de continuer de “faire confiance” au monde Linux ; donnez à la fondation OpenBSD !

http://www.openbsdfoundation.org/donations.html

:slightly_smiling: Vivement Debian GNU/kOpenBSD.

faut arrêter de tomber dans la parano.

Sortie de la première version portable (=qui compile sur les autres OS que OpenBSD) de LibreSSL

prévue pour remplacer OpenSSL sans casser la compatibilité (un peu comme MariaDB remplace MySQL)

libressl.org/

Sont taquins chez la fondation OpenSSL…

apparemment ils ont enregistré le nom de domaine “libressh.org” (faites un whois) à priori juste pour faire chier les gars d’OpenBSD et leur LibReSSL :115

ou alors pour forker OpenSSH? :075

[quote=“agentsteel”]Sont taquins chez la fondation OpenSSL…

apparemment ils ont enregistré le nom de domaine “libressh.org” (faites un whois) à priori juste pour faire chier les gars d’OpenBSD et leur LibReSSL :115

ou alors pour forker OpenSSH? :075[/quote]
Après le patent trolling, le domain trolling c’est ça ?