[technique] Bug Heartbleeg sur OpenSSL

Solarus solarus at ultrawaves.fr
Mar 8 Avr 18:52:17 CEST 2014 

Ce n'est pas nécessaire, comme je l'expliquais les version inférieures à la
1.0.1g ont été recompilées sans l'option heartbeat, ce qui rend la faille
impossible à utiliser.
Faites un 'openssl version -a' dans un terminal, si votre date build
correspond à hier ou aujourd'hui, votre système est protégé.

Si malgré ça un test vous indique une vulnérabilité, c'est certainement un
faux positif. Dans ces cas là ils ne faut pas hésiter à croiser différents
outils de test pour en être certain.

Solarus



Le 8 avril 2014 18:03, luc <luc at spaceroots.org> a écrit :

> Bonsoir Pierre,
>
> Le 2014-04-08 17:38, Pierre Crémault a écrit :
>
>  Le 08.04.2014 17:25, luc a écrit :
>>
>>> Sur un serveur que j'auto-héberge, j'ai fait ce matin toutes les modifs
>>> requises
>>> (update de tous les paquets Debian, vérification que j'avais bin la
>>> 1.0.1f installée,
>>> régénération des clefs, régénération des certificats SSL), et pourtant
>>> le site ci-dessus
>>> ci-dessus continue de me dire que je suis vulnérable. J'ai bien vu
>>> l'avertissement,
>>> mais il mentionne des faux négatifs, pas des faux positifs. J'en
>>> déduis que je suis
>>> effectivement vulnérable bien que j'utilise 1.0.1f (j'ai rebooté le
>>> serveur pour être
>>> sûr que tous les services soient bien redémarrés).
>>>
>>> Est-ce normal ?
>>>
>>
>> Bonjour Luc,
>>
>> La 1.0.1f est vulnérable : je suppose que tu es en version testing
>> tout comme moi ?
>>
>
> Oui.
>
>
>  Il faut installer la 1.0.1g qui n'était pas encore diffusée sur les
>> archives debian jessie à l'heure où j'ai fais la manipulation.
>>
>> La solution que j'ai appliquée est de télécharger a la mano les
>> paquets openssl et libssl en version 1.0.1g sur une archive sid et de
>> les installer avec : dpkg -i libssl-tagadatsointsoin.deb
>> openssl-trucchosebidule.deb
>>
>
> D'accord, merci pour l'info. Je vais faire la même chose.
>
> Luc
>
>
>>
>>     Pierre Crémault
>>
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20140408/c67851f4/attachment.htm>

Plus d'informations sur la liste de diffusion technique