Re: [gull] un peu OT: vulnerabilité openssl
Marc Mongenet
marc at mongenet.ch
Fri May 23 03:58:25 CEST 2008
Le 22 mai 2008 18:03, Christophe Sahut <csahut at nogoa.org> a écrit :
>
> Un résumé du problème pour ceux et celles qui seraient passés au travers :
>
> http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html
>
> A noter que ce n'est pas parce que vous avez un serveur autre que
> debian/ubuntu/unedérivéededebian que vous êtes à l'abri. N'importe qui ayant
> généré des clés SSH vulnérables et les ayant déployé sur d'autres serveurs
> (par exemple redhat) rend ces redhat vulnérables (au hasard si votre poste
> de syadmin est debian/ubuntu).
>
> Idem pour les autres services listés ici http://wiki.debian.org/SSLkeys (la
> longueur vous donne une idée de la portée du problème).
>
> --
> Christophe Sahut
>
Selon le résumé, toutes les clés DSA qui ont été utilisées (pas générées,
mais simplement *utilisées*) avec un RNG défectueux devraient aussi
être remplacées.
Si j'ai bien compris, elles sont potentiellement compromises car un
espion qui aurait capturé une communication utilisant une clé DSA et
chiffrée avec un RNG défectueux pourrait retrouver la clé. En effet,
le protocole dépendrait du RNG pour ne rien révéler de la clé.
--
Marc Mongenet
Creator of the Web 2 Markup Language
http://w2ml.com
More information about the gull
mailing list