| [Actux] Problème de sécurité OpenSSL Debian |
[ Thread Index |
Date Index
| More lists.tuxfamily.org/actux Archives
]
- To: actux@xxxxxxxxxxxxxxxxxxx
- Subject: [Actux] Problème de sécurité OpenSSL Debian
- From: Kereoz <kereoz@xxxxxxxxxx>
- Date: Fri, 16 May 2008 13:17:03 +0100
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:sender:to:subject:in-reply-to:mime-version:content-type:references:x-google-sender-auth; bh=6IpI6X/xtO/1u1CilBlyyG3zdM0Tqlu37cGvaXK491A=; b=eJSPyNOtZSyhp+IFQkJFPsRZX9LPU/b7fzo1Wzv0ZAYQHdLKEI7v4W88s92ez1MwaiKqVJTdds8p6tiyUjrmZLqgu7HbDxaUL35KVVMcj6NWXh/7xSf5k4hjaXGpfyvFSTJm0OFNcTK0VaatQNbjzrOrGWx4f7coDwk/+oO8h0c=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:sender:to:subject:in-reply-to:mime-version:content-type:references:x-google-sender-auth; b=wfJJg0ys9yJTmw2gDDMeoqiC9DCIw21iv5ixeNn/JPo+2j9AfF9hWIFvY4okZ/xGgK07si+rTF2gZdV8trJBs10/36CG2wxY4OqZWb3TW6SGHtWvS8FicW4wS9ZN/j9xStrq3Pgo4NInHVMO9NN1Rmiz3Ffbz6d4yYUDrf8Uahc=
Tiens, la même chose en Français... avec cependant plus de détails sur
le problème.
Désolé, si j'avais vu celui là avant je n'aurais pas envoyé l'autre...
PS : http://daniel.molkentin.de/blog/archives/118-On-the-topic-of-recent-PRNG-discussions....html
:d
---------- Forwarded message ----------
From: Jerome Athias <jerome.athias@xxxxxxx>
Date: 2008/5/16
Subject: [APRIL] Problème de sécurité OpenSSL Debian
To: april@xxxxxxxxx
Bonjour,
Pour ceux qui ne sont pas encore au courant, la version OpenSSL packagée
par Debian est victime d'un bug rendant le générateur d'aléa fortement
prédictible :
https://www.securinfos.info/alertes-bulletins-securite/20080513-Debian-OpenSSL-Predictable-Random-Number-Generator-et-Update.php
En conséquence, toutes les valeurs secrètes générées avec OpenSSL depuis
l'année 2006 devrait être révoquées. Ceci inclut les clés SSH et tous
les certificats SSL (PKI/IGC, HTTPS, OpenVPN, etc.).
Il ne s'agit pas d'une attaque théorique, puisque les mainteneurs Debian
ont pu retrouver assez rapidement les valeurs secrètes de 10 clés SSH
parmi 1000 générées aléatoirement.
La distribution Debian et tous ses dérivés (ex. Ubuntu) sont affectés.
C'est donc un bug *sérieux*.
Jérôme ATHIAS
--
Gérer votre abonnement à la liste april et vos informations personnelles :
http://adherents.april.org/
Pour toute question sur cette liste: http://wiki.april.org/ListeAssociation
--
Christophe HAUSER, http://www.kereoz.org
Association Actux, http://actux.tuxfamily.org
--
Gérer votre abonnement à la liste april et vos informations personnelles :
http://adherents.april.org/
Pour toute question sur cette liste: http://wiki.april.org/ListeAssociation