Il y a actuellement 301 visiteurs
Vendredi 29 Mars 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
 
Actualités par thème
 Toutes les Actualités
 
 Autres
 Composants
 Jeux Vidéo
 Logiciels
 Linux
 Mac
 Pilote / Driver
 Windows
 Mobilité
 Ordinateurs
 Périphériques
Filtrage par date
« Mars 2024 »
lun mar mer jeu ven sam dim
123
45678910
11121314151617
18192021222324
25262728293031
Newsletter
Restez informé sur toutes les nouveautés de notre site (actualités, dossiers, logiciels...)

Entrez votre email ci-dessus pour vous abonner, vous désabonner ou vous réabonner
 

Faille de sécurité chez GNU/Linux Debian

Actualité publiée par CaSa le Vendredi 16 Mai 2008

Une importante faille de sécurité a été découverte dans la distribution DEBIAN il y a quelques jours sur un composant essentiel de GNU/Linux. Cette faille affecte la génération aléatoire de paires de clef SSH, une procédure utilisée pour mettre en place des communications sécurisées entre machines (linux/linux, linux/windows,...), des VPN, tout ceci à l’aide de systèmes d’authentifications automatisées.

L’introduction d’un bug dans le code de "génération aléatoire" datait visiblement de 2006 et impactait le nombre possible des clefs pouvant être générées (théoriquement par millions) en un nombre fini de quelques centaines de milliers.

Un important problème donc car les mesures de sécurités reposant sur un échange de clefs SSH ne résistaient plus à une attaque de type "brute force".

Les mises à jour (paquets openssh) ont immédiatement été déployées et disponibles sur les serveurs. Comme Debian est la base de plusieurs distributions dérivées, ces dernières sont aussi touchées et sont mises à jour de fait (Ubunutu, Mepis, Knoppix, ...).

Outre ces corrections à faire sans tarder sur les serveurs sensibles utilisant ces procédures, il faut également regénérer les paires de clefs et remettre en place les clefs privées/publiques aux bons endroits car les anciennes ne seront plus valides et normalement blacklistées. Du travail en perspective pour tous les administrateurs de systèmes GNU/Linux.

Au-delà de l’aspect technique, espérons que la communauté Debian de souffrira pas trop de cette découverte et saura gérer les critiques à son égard. Effectivement c’est sans aucun doute une bonne occasion pour ses détracteurs de remettre en cause les qualités reconnues d’une des distributions les plus utilisées en serveurs de productions GNU/Linux.

 

<< Source Linuxfr.org >>

     Actualité précédente
Actualité suivante     
Il y a 7 commentaires sur cette actualité
Réagir Envoyer Favoris Imprimer
Réagir Envoyer favoris Imprimer
Par CaSa le Dimanche 18 Mai 2008 à 18:40
Pour information, certaines applications Linux se servent d'une paire de clefs SSH fixe et par défaut dans leur installation de base. C'est le cas de NXSERVEUR de NOMACHINE. Suite à l'introduction d'une liste de blacklistage de clefs, il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C'est bien entendu détournable, mais assez pénalisant pour l'administration puisqu'il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients. A faire : => sur le serveur : 1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) et les copier dans /var/lib/nxserver/home/.ssh 2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique) 3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée) 4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc "ssh-dss..." les mentions : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" (pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss...) => sur le client, dans la configuration de nxclient : 1 - lancez nxclient et allez dans configuration 2 - éditer le fichier KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA...) et mettez à la place le contenu de clef privée fichier "client.id_dsa.key") Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C'est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n'est plus une clef NOMACHINE par défaut.

Par etienne2000 le Dimanche 18 Mai 2008 à 18:46
es-ce que Unbuntu en fait partie?

Par CaSa le Dimanche 18 Mai 2008 à 19:10
Oui, Ubuntu est une dérivée de Debian et se base sur le développement de la branche Debian. Debian, (XK)Ubuntu, Xandros, Knoppix, Kaella, Mepis, etc... => http://fr.wikipedia.org/wiki/Cat%C3%A9g ... _de_Debian

Par Skynet le Dimanche 18 Mai 2008 à 21:59
@etienne2000 : regarde la branche Debian : http://upload.wikimedia.org/wikipedia/c ... ne-7.5.svg @CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?

Par CaSa le Lundi 19 Mai 2008 à 09:54

Citation:
@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?

Je ne sais pas, ça dépendait du système employé c'est vraiment spécifique à Debian et à l'utilisation de la bibliothèque OpenSSL. Cela dit si tu parles des transactions bancaires ponctuelles, les paires de clefs ne sont générées que pour servir provisoirement, je ne pense pas qu'on puisse détourner une connexion dans ce laps de temps très court. Il y a des systèmes qui ne se servent pas de OpenSSL pour la gnéération de paires de clefs et qui n'ont donc pas été touchés par le bug. C'est le cas de GPG et des générations de clefs de chiffrage/signatures mail ou des signatures de paquets programmes. Heureusement d'ailleurs, la galère mondiale s'il avait fallu également regénérer les clefs mails. :roll:

Par etienne2000 le Lundi 19 Mai 2008 à 13:57
Ah ok. de toute façon je n'utilise pas Ubuntu pour les transactions bancaires donc a ce niveau la c'est bon :)

Par Skynet le Lundi 19 Mai 2008 à 17:40
Ok, donc au final, et vu que c'est corrigé, personne n'a recensé de problème suite à cette faille apparemment... C'était simplement de la curiosité pour ma question, puisque mes paiements ont été faits sur d'autres distributions d'une branche différente. Mais bon, vu que j'aime bien Bubuntu, SymphonyOS, Linux Mint et PureOS, je note l'info. Les utilisateurs des EeePC ont intérêt à faire leur mise à jour aussi. C'est sans oublier la célèbre distribution : Damn Small Linux

  Ajouter un commentaire   Voir tous les commentaires
 
Actualités connexes
  Du changement chez AMD…
  Du nouveau chez ATI.
  Une clé USB 16 Go chez Corsair
  Un kit de 4Go de DDR2-800 chez OCZ
  Micro SD 2 Go chez PNY
  Restructuration chez HP
  33% de gain chez Nvidia
  Du nouveau chez Free
  Du changement chez Mandriva
  Un escargot chez Lian-Li.
 Voir toutes les actualités
Les 3 derniers logiciels ajoutés
Amarok 2.6.0
Amarok est un logiciel pour écouter votre musique, mais pas seulement. Il permet premièrement de gér...
Linux / Audio / Gestion
-----------------
Chromium 17.0.147
Chromium est le projet Open Source derrière Google Chrome. En apparence, il est strictement identiqu...
Windows / Internet / Navigateurs
-----------------
Autoruns 11.34
Autoruns est un utilitaire permettant d'afficher et de gérer les programmes qui se lancent au démarr...
Windows / Utilitaires / Système
 Voir tous les logiciels
Hit-Parade

.: Nous contacter :: Flux RSS :: Données personnelles :.