[Publié] Faille de sécurité chez GNU/Linux Debian

[CaSa]

Une importante faille de sécurité a été découverte dans la distribution DEBIAN il y a quelques jours sur un composant essentiel de GNU/Linux.

Cette faille affecte la génération aléatoire de paires de clef SSH, ...

lire la suite

<< Source Linuxfr.org >>

Laissez vos commentaires...

[CaSa]

Pour information, certaines applications Linux se servent d'une paire de clefs SSH fixe et par défaut dans leur installation de base. C'est le cas de NXSERVEUR de NOMACHINE.
Suite à l'introduction d'une liste de blacklistage de clefs, il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C'est bien entendu détournable, mais assez pénalisant pour l'administration puisqu'il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients.
A faire :
=> sur le serveur :
1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) et les copier dans /var/lib/nxserver/home/.ssh
2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique)
3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée)
4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc "ssh-dss..." les mentions : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver"
(pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss...)

=> sur le client, dans la configuration de nxclient :
1 - lancez nxclient et allez dans configuration
2 - éditer le fichier KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA...) et mettez à la place le contenu de clef privée fichier "client.id_dsa.key")

Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C'est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n'est plus une clef NOMACHINE par défaut.

[etienne2000]

es-ce que Unbuntu en fait partie?

[CaSa]

Oui, Ubuntu est une dérivée de Debian et se base sur le développement de la branche Debian.
Debian, (XK)Ubuntu, Xandros, Knoppix, Kaella, Mepis, etc...
=> http://fr.wikipedia.org/wiki/Cat%C3%A9g ... _de_Debian

[Skynet]

@etienne2000 : regarde la branche Debian :

http://upload.wikimedia.org/wikipedia/c ... ne-7.5.svg

@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?

[CaSa]

@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?

Je ne sais pas, ça dépendait du système employé c'est vraiment spécifique à Debian et à l'utilisation de la bibliothèque OpenSSL. Cela dit si tu parles des transactions bancaires ponctuelles, les paires de clefs ne sont générées que pour servir provisoirement, je ne pense pas qu'on puisse détourner une connexion dans ce laps de temps très court.
Il y a des systèmes qui ne se servent pas de OpenSSL pour la gnéération de paires de clefs et qui n'ont donc pas été touchés par le bug. C'est le cas de GPG et des générations de clefs de chiffrage/signatures mail ou des signatures de paquets programmes.
Heureusement d'ailleurs, la galère mondiale s'il avait fallu également regénérer les clefs mails.

[etienne2000]

Ah ok. de toute façon je n'utilise pas Ubuntu pour les transactions bancaires donc a ce niveau la c'est bon

[Skynet]

Ok,

donc au final, et vu que c'est corrigé, personne n'a recensé de problème
suite à cette faille apparemment...

C'était simplement de la curiosité pour ma question, puisque mes paiements
ont été faits sur d'autres distributions d'une branche différente.

Mais bon, vu que j'aime bien Bubuntu, SymphonyOS, Linux Mint et PureOS, je note l'info.

Les utilisateurs des EeePC ont intérêt à faire leur mise à jour aussi.

C'est sans oublier la célèbre distribution : Damn Small Linux