[technique] Bug Heartbleeg sur OpenSSL

Pierre Crémault pierre at franciliens.net
Mar 8 Avr 17:38:10 CEST 2014


Le 08.04.2014 17:25, luc a écrit :
> Sur un serveur que j'auto-héberge, j'ai fait ce matin toutes les modifs 
> requises
> (update de tous les paquets Debian, vérification que j'avais bin la
> 1.0.1f installée,
> régénération des clefs, régénération des certificats SSL), et pourtant
> le site ci-dessus
> ci-dessus continue de me dire que je suis vulnérable. J'ai bien vu
> l'avertissement,
> mais il mentionne des faux négatifs, pas des faux positifs. J'en
> déduis que je suis
> effectivement vulnérable bien que j'utilise 1.0.1f (j'ai rebooté le
> serveur pour être
> sûr que tous les services soient bien redémarrés).
> 
> Est-ce normal ?

Bonjour Luc,

La 1.0.1f est vulnérable : je suppose que tu es en version testing tout 
comme moi ?
Il faut installer la 1.0.1g qui n'était pas encore diffusée sur les 
archives debian jessie à l'heure où j'ai fais la manipulation.

La solution que j'ai appliquée est de télécharger a la mano les paquets 
openssl et libssl en version 1.0.1g sur une archive sid et de les 
installer avec : dpkg -i libssl-tagadatsointsoin.deb 
openssl-trucchosebidule.deb


     Pierre Crémault
-- 
Vice-Président de Franciliens.net, FAI associatif en Île-de-France



Plus d'informations sur la liste de diffusion technique