[technique] Bug Heartbleeg sur OpenSSL
luc
luc at spaceroots.org
Mar 8 Avr 18:03:26 CEST 2014
Bonsoir Pierre,
Le 2014-04-08 17:38, Pierre Crémault a écrit :
> Le 08.04.2014 17:25, luc a écrit :
>> Sur un serveur que j'auto-héberge, j'ai fait ce matin toutes les
>> modifs requises
>> (update de tous les paquets Debian, vérification que j'avais bin la
>> 1.0.1f installée,
>> régénération des clefs, régénération des certificats SSL), et pourtant
>> le site ci-dessus
>> ci-dessus continue de me dire que je suis vulnérable. J'ai bien vu
>> l'avertissement,
>> mais il mentionne des faux négatifs, pas des faux positifs. J'en
>> déduis que je suis
>> effectivement vulnérable bien que j'utilise 1.0.1f (j'ai rebooté le
>> serveur pour être
>> sûr que tous les services soient bien redémarrés).
>>
>> Est-ce normal ?
>
> Bonjour Luc,
>
> La 1.0.1f est vulnérable : je suppose que tu es en version testing
> tout comme moi ?
Oui.
> Il faut installer la 1.0.1g qui n'était pas encore diffusée sur les
> archives debian jessie à l'heure où j'ai fais la manipulation.
>
> La solution que j'ai appliquée est de télécharger a la mano les
> paquets openssl et libssl en version 1.0.1g sur une archive sid et de
> les installer avec : dpkg -i libssl-tagadatsointsoin.deb
> openssl-trucchosebidule.deb
D'accord, merci pour l'info. Je vais faire la même chose.
Luc
>
>
> Pierre Crémault
Plus d'informations sur la liste de diffusion technique