- Debian (et ses dérivés) a une faille de sécurité importante sur OpenSSL (depuis le 17 septembre 2006) , ce qui impacte notamment vos clés SSH - cf annonce pour OpenSSL - annonce pour OpenSSH - la procédure de vérification ou un peu plus bas - la page SSLKey sur le wiki de Debian
- Django annonce aussi une mise à jour de sécurité pour les version 0.91, 0.95, 0.96 et de développement.
Pensez à mettre vos serveurs / applications à jour et ce assez rapidement...
Procédure de vérification (issu d'un mail de Gandi)
Récupérer le script dowkd.pl :
$ cd /tmp $ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz $ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc $ gpg --keyserver subkeys.pgp.net --recv-keys 02D524BE $ gpg --verify dowkd.pl.gz.asc $ gunzip dowkd.pl.gz
L'appliquer sur des clés de machine (host key) :
$ perl dowkd.pl host localhost # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9 # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9 localhost: weak key localhost: weak key
Le message "weak key" indique que la clef est faible et donc vulnérable.
L'appliquer sur les clés des utilisateurs :
# perl dowkd.pl user /home/someuser/.ssh/authorized_keys:1: warning: unparsable line /home/someuser/.ssh/authorized_keys:3: warning: unparsable line /home/someuser/.ssh/authorized_keys:4: weak key /home/someuser/.ssh/authorized_keys:5: weak key
Pour les certificats, utiliser une procédure de révocation/regénération de certificats.
Pour le reste, voir la page SSLKey sur le wiki de Debian
Edit : Ajout du lien pour l'annonce d'OpenSSH Edit 2 : ajout du lien vers http://wiki.debian.org/SSLkeys