L’information est sortie cette semaine, une faille de sécurité critique dans OpenSSL sur Debian à été découverte.

Extrait de linux.fr :

Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant “corriger” des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n’est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l’ont été à partir d’un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros…).

la suite de l’article …

Que cette faille impacte les Debians depuis 2006 à cause d’un “patch” sur un paquetage aussi sensible qu’OpenSSL, ca me laisse … comment dire … un gout amer aux premiers abords …

Puis travaillant dans le développement logiciel, l’erreur est humaine, c’est un fait … Mais pour ça, on met en place des cycles de validation …

Surtout sur le composant principal dans la cryptographie et donc OpenSSL, le générateur de nombres aléatoires !..

Le fait d’un développeur pas très consciencieux ?.. Pas de cycles de validation avant livraison ?.. Le “stress” d’un patch sous la pression du client ? lol je pense pas qu’on soit affecté par l’effet du “stress” dans la communauté Debian …

En tous cas la communauté réagi au mieux comme d’habitude, l’info et les mises à jour circulent vite … Au moment où j’écris cet article, je viens de recevoir un mail de mon hébergeur pour m’annoncer la faille !

Au final, on se remontent les manches pour :

1) Mettre à jour OpenSSL, et regénérer l’intégralité de nos clefs SSH, certificats …
Pour corriger la faille, la manipulation à effectuer est la suivante :

apt-get update
apt-get upgrade openssh-client openssh-server openssl
rm -f /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys

Dans la mise à jour, il existe des commandes pour vérifier si vos clefs SSH et certificats serveurs sont impactés … hummmm moyen je trouve …

Du coup on efface tout ! Nos autorités de certification, nos clefs SSH, nos certificats serveurs et on régénèrent l’ensemble sur nos plateformes LAMP.

(Tout mes encouragements aux administrateurs Debian ou dérivés qui sont en charge de centaines de serveurs et de milliers de clefs SSH …)

Du boulot en perspective donc … j’avais prévue autre chose moi ce weekend ! Mais bon j’en profiterais pour commencer un article sur la procédure à suivre dans l’installation d’une petite PKI maison.

2) Débattre le fait d’avoir choisi une Debian sur ses serveurs …

J’en connais qui rigolent dans leurs coins …

Comme je viens de migrer mes serveurs sous Debian il y a peu de temps et j’ai quitter une distribution qui n’est pas impactée par cette faille, y’a du débat dans l’air !

Dès Lundi voir le Marketing, pour rassurer tout le monde … , lol.

Bonne fin de soirée.