[technique] Bug Heartbleeg sur OpenSSL
Pierre Crémault
pierre at franciliens.net
Mar 8 Avr 17:38:10 CEST 2014
Le 08.04.2014 17:25, luc a écrit :
> Sur un serveur que j'auto-héberge, j'ai fait ce matin toutes les modifs
> requises
> (update de tous les paquets Debian, vérification que j'avais bin la
> 1.0.1f installée,
> régénération des clefs, régénération des certificats SSL), et pourtant
> le site ci-dessus
> ci-dessus continue de me dire que je suis vulnérable. J'ai bien vu
> l'avertissement,
> mais il mentionne des faux négatifs, pas des faux positifs. J'en
> déduis que je suis
> effectivement vulnérable bien que j'utilise 1.0.1f (j'ai rebooté le
> serveur pour être
> sûr que tous les services soient bien redémarrés).
>
> Est-ce normal ?
Bonjour Luc,
La 1.0.1f est vulnérable : je suppose que tu es en version testing tout
comme moi ?
Il faut installer la 1.0.1g qui n'était pas encore diffusée sur les
archives debian jessie à l'heure où j'ai fais la manipulation.
La solution que j'ai appliquée est de télécharger a la mano les paquets
openssl et libssl en version 1.0.1g sur une archive sid et de les
installer avec : dpkg -i libssl-tagadatsointsoin.deb
openssl-trucchosebidule.deb
Pierre Crémault
--
Vice-Président de Franciliens.net, FAI associatif en Île-de-France
Plus d'informations sur la liste de diffusion technique