[technique] Bug Heartbleeg sur OpenSSL

luc luc at spaceroots.org
Mar 8 Avr 17:25:37 CEST 2014 

Le 2014-04-08 13:38, Solarus a écrit :
> Bonjour à tous.

Bonjour,

> 
> Comme signalé par Alexandre sur la ML Tetalab, une faille nommée
> "Heartbleed" a été découverte sur OpenSSL http://heartbleed.com/
> [1]
> 
> Cette faille dans le mécanisme "Heartbeat" permet d'extraire 64kb de
> données au serveur à chaque tentative. L'une après l'autres ces
> tentatives peuvent permettre de récupérer la clé privée du
> serveur, mettant en danger le certificat SSL du serveur ainsi que le
> chiffrement des données échangées.
> 
> La faille est publique depuis cette nuit mais elle était dans la
> nature depuis 2012.
> Sont concernées les versions de OpenSSL de 1.0.1 à 1.0.1f. Les
> versions antérieures et ultérieures ne sont pas impactées.
>  Pour les versions vulnérables, la plupart des distributions Linux
> distribuent un patch, correspondant au binaire d'OpenSSL recompilé
> sans l'option "Heartbeat", ce qui inhibe la faille.
> 
>  Face à cette faille voici quelques opérations à mettre en oeuvres
> :
> 
> 1°) Vérifier si les serveurs que vous contactez sont vulnérables ou
> non : http://filippo.io/Heartbleed/ [2]

Sur un serveur que j'auto-héberge, j'ai fait ce matin toutes les modifs 
requises
(update de tous les paquets Debian, vérification que j'avais bin la 
1.0.1f installée,
régénération des clefs, régénération des certificats SSL), et pourtant 
le site ci-dessus
ci-dessus continue de me dire que je suis vulnérable. J'ai bien vu 
l'avertissement,
mais il mentionne des faux négatifs, pas des faux positifs. J'en déduis 
que je suis
effectivement vulnérable bien que j'utilise 1.0.1f (j'ai rebooté le 
serveur pour être
sûr que tous les services soient bien redémarrés).

Est-ce normal ?

Luc

> 
> 2°) Vérifiez que vous négociez le Perfect Forward Secrecy avec le
> serveur (en utilisant l'extension Calomel SSL par ex) pour éviter
> l'interception des données.
> 
> 3°) Si vous gérez un serveur, mettez à jour votre OS et redémarrez
> vos services crypto et web. Je recommande même un redémarrage global
> de la machine.
> 
> 4°) Si vos certificats SSL protègent des choses sensibles, révoquez
> les anciens certificats et générez des nouveaux. Profitez en pour
> utiliser sha256 comme digest, le sha-1 utilisé par défaut est
> désormais considéré comme trop faible.
> 
> Cordialement
> Solarus
> 
> 
> 
> Links:
> ------
> [1] http://heartbleed.com/
> [2] http://filippo.io/Heartbleed/
> 
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique

Plus d'informations sur la liste de diffusion technique