Sécurité quand tu nous tiens...
Par NiCoS le mercredi 14 mai 2008, 22:00 - Trucs de geek - Lien permanent
- Debian (et ses dérivés) a une faille de sécurité importante sur OpenSSL (depuis le 17 septembre 2006) , ce qui impacte notamment vos clés SSH - cf annonce pour OpenSSL - annonce pour OpenSSH - la procédure de vérification ou un peu plus bas - la page SSLKey sur le wiki de Debian
- Django annonce aussi une mise à jour de sécurité pour les version 0.91, 0.95, 0.96 et de développement.
Pensez à mettre vos serveurs / applications à jour et ce assez rapidement...
Procédure de vérification (issu d'un mail de Gandi)
Récupérer le script dowkd.pl :
$ cd /tmp $ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz $ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc $ gpg --keyserver subkeys.pgp.net --recv-keys 02D524BE $ gpg --verify dowkd.pl.gz.asc $ gunzip dowkd.pl.gz
L'appliquer sur des clés de machine (host key) :
$ perl dowkd.pl host localhost # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9 # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9 localhost: weak key localhost: weak key
Le message "weak key" indique que la clef est faible et donc vulnérable.
L'appliquer sur les clés des utilisateurs :
# perl dowkd.pl user /home/someuser/.ssh/authorized_keys:1: warning: unparsable line /home/someuser/.ssh/authorized_keys:3: warning: unparsable line /home/someuser/.ssh/authorized_keys:4: weak key /home/someuser/.ssh/authorized_keys:5: weak key
Pour les certificats, utiliser une procédure de révocation/regénération de certificats.
Pour le reste, voir la page SSLKey sur le wiki de Debian
Edit : Ajout du lien pour l'annonce d'OpenSSH Edit 2 : ajout du lien vers http://wiki.debian.org/SSLkeys
Commentaires
Je comprends décidement pas la politique de Debian, ils publient une annonce sur une faille de sécurité pour OpenSSL, mais par contre ils continuent à utiliser une "vieille" version de OpenSSH (la dernière étant 5.0p1).
Enfin c'est ce que je vois dans l'exemple que tu montres, peut être, que je me trompe
Salut,
Ca veux dire qu'il faut refaire toutes les clés du serveur si il n'y a pas le "weak key" ?
les clés des utilisateurs, du serveur openssl, du https... ?
la galère quoi
Par contre, c'est clair que ça craint de changer des comportements d'un logiciel sans en informer les développeurs du dit-logiciel. Pour moi, le packaging d'une application devrait se limiter à la définition des paramètres du "configure" pour que le logiciel s'installe dans l'arbo définie par la distribution. Pour le coeur du logiciel, la distribution n'a pas à y toucher...
Entre cette histoire et les dépendances un peu foireuse, Debian commence à m'agacer...
@Yves: De ce que j'ai compris, il n'y a pas à les refaire si tu ne trouves pas de weak key.
Par contre, pour du https, j'ai pas l'impression que le script vérifie ce point. Et je sais pas trop quoi te dire à ce sujet.
Oui, une vrai galère potentielle
Oki
tu dis "Le message "weak key" indique que la clef est faible et donc vulnérable."
Mais sur http://wiki.debian.org/SSLkeys, ils disent le contraire !
Un faute de frappe je pense
Je regrette d'avoir tardé à lire ce post. Merci bien, mes clés ont été régénérées.
@Yves : je pense que la typo a été corrigée sur le wiki. Par contre, chose étrange, sur ma part Gandi, je n'arrive pas à avoir autre chose que weak key malgré une regénération multiple. Pourvu que je n'attaque pas la clé de la machine hôte ou je ne sais quoi...
Et on continue dans le délire : [DSA 1576-2] New openssh packages fix predictable randomness
N'arrivant pas à résoudre mon problème de weak key sur ma part gandi sous Debian, elle est en train de basculer sous Fedora Core 8 et mon PC perso sous Fedora Core 9... les premières impressions sont plutôt positives