
<div dir="ltr"><div>Ce n'est pas nécessaire, comme je l'expliquais les version 

inférieures à la 1.0.1g ont été recompilées sans l'option heartbeat, ce 

qui rend la faille impossible à utiliser.<br></div><div>Faites un 'openssl version -a' dans un terminal, si votre date build correspond à hier ou aujourd'hui, votre système est protégé.<br></div><div class="gmail_extra">

<br></div><div class="gmail_extra">Si

 malgré ça un test vous indique une vulnérabilité, c'est certainement un

 faux positif. Dans ces cas là ils ne faut pas hésiter à croiser 

différents outils de test pour en être certain.<br><br></div><div class="gmail_extra">Solarus<br></div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">Le 8 avril 2014 18:03, luc <span dir="ltr"><<a href="mailto:luc@spaceroots.org" target="_blank">luc@spaceroots.org</a>></span> a écrit :<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Bonsoir Pierre,<br>

<br>

Le 2014-04-08 17:38, Pierre Crémault a écrit :<div class=""><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Le 08.04.2014 17:25, luc a écrit :<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Sur un serveur que j'auto-héberge, j'ai fait ce matin toutes les modifs requises<br>

(update de tous les paquets Debian, vérification que j'avais bin la<br>

1.0.1f installée,<br>

régénération des clefs, régénération des certificats SSL), et pourtant<br>

le site ci-dessus<br>

ci-dessus continue de me dire que je suis vulnérable. J'ai bien vu<br>

l'avertissement,<br>

mais il mentionne des faux négatifs, pas des faux positifs. J'en<br>

déduis que je suis<br>

effectivement vulnérable bien que j'utilise 1.0.1f (j'ai rebooté le<br>

serveur pour être<br>

sûr que tous les services soient bien redémarrés).<br>

<br>

Est-ce normal ?<br>

</blockquote>

<br>

Bonjour Luc,<br>

<br>

La 1.0.1f est vulnérable : je suppose que tu es en version testing<br>

tout comme moi ?<br>

</blockquote>

<br></div>

Oui.<div class=""><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Il faut installer la 1.0.1g qui n'était pas encore diffusée sur les<br>

archives debian jessie à l'heure où j'ai fais la manipulation.<br>

<br>

La solution que j'ai appliquée est de télécharger a la mano les<br>

paquets openssl et libssl en version 1.0.1g sur une archive sid et de<br>

les installer avec : dpkg -i libssl-tagadatsointsoin.deb<br>

openssl-trucchosebidule.deb<br>

</blockquote>

<br></div>

D'accord, merci pour l'info. Je vais faire la même chose.<br>

<br>

Luc<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

<br>

    Pierre Crémault<br>

</blockquote><div class="HOEnZb"><div class="h5">

______________________________<u></u>_________________<br>

technique mailing list<br>

<a href="mailto:technique@lists.tetaneutral.net" target="_blank">technique@lists.tetaneutral.<u></u>net</a><br>

<a href="http://lists.tetaneutral.net/listinfo/technique" target="_blank">http://lists.tetaneutral.net/<u></u>listinfo/technique</a><br>

</div></div></blockquote></div><br></div>