Une importante faille de sécurité a été découverte dans la distribution DEBIAN il y a quelques jours sur un composant essentiel de GNU/Linux.
Cette faille affecte la génération aléatoire de paires de clef SSH, ...
lire la suite
<< Source Linuxfr.org >>
Laissez vos commentaires...
Il y a actuellement 439 visiteurs
Vendredi 05 Décembre 2025
       |
[Publié] Faille de sécurité chez GNU/Linux Debian
8 messages
• Page 1 sur 1
le 18 Mai 2008 19:40
Pour information, certaines applications Linux se servent d'une paire de clefs SSH fixe et par défaut dans leur installation de base. C'est le cas de NXSERVEUR de NOMACHINE.
Suite à l'introduction d'une liste de blacklistage de clefs, il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C'est bien entendu détournable, mais assez pénalisant pour l'administration puisqu'il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients.
A faire :
=> sur le serveur :
1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) et les copier dans /var/lib/nxserver/home/.ssh
2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique)
3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée)
4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc "ssh-dss..." les mentions : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver"
(pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss...)
=> sur le client, dans la configuration de nxclient :
1 - lancez nxclient et allez dans configuration
2 - éditer le fichier KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA...) et mettez à la place le contenu de clef privée fichier "client.id_dsa.key")
Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C'est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n'est plus une clef NOMACHINE par défaut.
Suite à l'introduction d'une liste de blacklistage de clefs, il arrive donc hélas que la paire de clef NX en configuration par défaut ne peut plus fonctionner. C'est bien entendu détournable, mais assez pénalisant pour l'administration puisqu'il faut générer une paire de clefs perso et écraser les clefs SSH par défaut du serveur NX et des clients.
A faire :
=> sur le serveur :
1 - générer une paire de clef dsa (id_dsa et id_dsa.pub) et les copier dans /var/lib/nxserver/home/.ssh
2 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/authorized_keys2 par celui de id_dsa.pub (clef publique)
3 - remplacer le contenu du fichier /var/lib/nxserver/home/.ssh/client.id_dsa.key par celui de id_dsa (clef privée)
4 - éditer le fichier de clef publique (authorized_keys2) et rajouter juste avant le bloc "ssh-dss..." les mentions : no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver"
(pour obtenir donc no-port-forwarding,no-X11-forwarding,no-agent-forwarding,command="/usr/lib/nx/nxserver" ssh-dss...)
=> sur le client, dans la configuration de nxclient :
1 - lancez nxclient et allez dans configuration
2 - éditer le fichier KEY, supprimez la clef NOMACHINE (commençant par MIIBuwIBAA...) et mettez à la place le contenu de clef privée fichier "client.id_dsa.key")
Il faut hélas changer la clef privée sur tous les clients NXCLIENT. C'est pénalisant mais on positivera en disant que ça renforce la sécurité puisque ce n'est plus une clef NOMACHINE par défaut.
-
CaSa - PC-Infopraticien
- Messages: 9069
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron, perle de Provence... et jamais loin d'une Debian
le 18 Mai 2008 19:46
es-ce que Unbuntu en fait partie?
-
etienne2000 - PC-Infopraticien
- Messages: 2162
- Inscription: 14 Avr 2006 18:39
- Localisation: 4E 65 75 63 68 E2 74 65 6C 2F 53 75 69 73 73 65
le 18 Mai 2008 20:10
Oui, Ubuntu est une dérivée de Debian et se base sur le développement de la branche Debian.
Debian, (XK)Ubuntu, Xandros, Knoppix, Kaella, Mepis, etc...
=> http://fr.wikipedia.org/wiki/Cat%C3%A9g ... _de_Debian
Debian, (XK)Ubuntu, Xandros, Knoppix, Kaella, Mepis, etc...
=> http://fr.wikipedia.org/wiki/Cat%C3%A9g ... _de_Debian
-
CaSa - PC-Infopraticien
- Messages: 9069
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron, perle de Provence... et jamais loin d'une Debian
le 18 Mai 2008 22:59
@etienne2000 : regarde la branche Debian :
http://upload.wikimedia.org/wikipedia/c ... ne-7.5.svg
@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?
http://upload.wikimedia.org/wikipedia/c ... ne-7.5.svg
@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?
-
Skynet - Moderateur
- Messages: 14807
- Inscription: 19 Juil 2007 21:12
le 19 Mai 2008 10:54
Skynet a écrit:@CaSa : Ca aurait pu poser problème sur les transactions bancaires par exemple ?
Je ne sais pas, ça dépendait du système employé c'est vraiment spécifique à Debian et à l'utilisation de la bibliothèque OpenSSL. Cela dit si tu parles des transactions bancaires ponctuelles, les paires de clefs ne sont générées que pour servir provisoirement, je ne pense pas qu'on puisse détourner une connexion dans ce laps de temps très court.
Il y a des systèmes qui ne se servent pas de OpenSSL pour la gnéération de paires de clefs et qui n'ont donc pas été touchés par le bug. C'est le cas de GPG et des générations de clefs de chiffrage/signatures mail ou des signatures de paquets programmes.
Heureusement d'ailleurs, la galère mondiale s'il avait fallu également regénérer les clefs mails.
-
CaSa - PC-Infopraticien
- Messages: 9069
- Inscription: 13 Mai 2003 16:32
- Localisation: Sisteron, perle de Provence... et jamais loin d'une Debian
le 19 Mai 2008 14:57
Ah ok. de toute façon je n'utilise pas Ubuntu pour les transactions bancaires donc a ce niveau la c'est bon 
-
etienne2000 - PC-Infopraticien
- Messages: 2162
- Inscription: 14 Avr 2006 18:39
- Localisation: 4E 65 75 63 68 E2 74 65 6C 2F 53 75 69 73 73 65
le 19 Mai 2008 18:40
Ok,
donc au final, et vu que c'est corrigé, personne n'a recensé de problème
suite à cette faille apparemment...
C'était simplement de la curiosité pour ma question, puisque mes paiements
ont été faits sur d'autres distributions d'une branche différente.
Mais bon, vu que j'aime bien Bubuntu, SymphonyOS, Linux Mint et PureOS, je note l'info.
Les utilisateurs des EeePC ont intérêt à faire leur mise à jour aussi.
C'est sans oublier la célèbre distribution : Damn Small Linux
donc au final, et vu que c'est corrigé, personne n'a recensé de problème
suite à cette faille apparemment...
C'était simplement de la curiosité pour ma question, puisque mes paiements
ont été faits sur d'autres distributions d'une branche différente.
Mais bon, vu que j'aime bien Bubuntu, SymphonyOS, Linux Mint et PureOS, je note l'info.
Les utilisateurs des EeePC ont intérêt à faire leur mise à jour aussi.
C'est sans oublier la célèbre distribution : Damn Small Linux
-
Skynet - Moderateur
- Messages: 14807
- Inscription: 19 Juil 2007 21:12
8 messages
• Page 1 sur 1
Sujets similaires
[Réglé] Installation linuxBonjour,Je tien tout d'abord à m'excusez si je suis pas dans la bonne section .J'ai donc un soucis sur un vieux pc portable HP ou j'arrive à installer windows 7 mais pas d'autre système d'exploitation , j'ai essayer pop os , anduinos et debian mais à chaque fois il me redirige sur un écrans de diagn ...
Réponses: 6
installer une version linux laquelle choisirSalut tout le mondeJe me retrouve avec deux "vieux pc portable sous Windows 8.1 et 10 qui déjà rament fortement et vu le passage à windows 11 je me dis qu'installer une distribution Linux pourrais leur donner une "seconde vie". Pc portables ASUS : R511LJ et X751L .... j'aurais bi ...
Réponses: 13
comment installer Linux Mint sur un deuxième disque durBonjour,Pourriez-vous m'aider svp à installer Linux Mint 24.04 Cinnnamon sur le deuxième disque dur de mon pc de bureau qui contient Windows 10 sur le premier disque dur ? Configuration : SSD 240 go avec Windows 10 et un deuxième disque dur sata 1To vierge où je souhaiterai installer Linux Mint P ...
Réponses: 14
Problème d'installation LinuxBonjour,Pourriez-vous m'aider à résoudre le problème qui se produit sur un pc portable Toshiba modèle satellite C 50 B 14 E avec ce message qui apparait à chaque démarrage " start PXE over IPV4 press (echap) to exit" Après plusieurs essais, l'installation s'est faite de Ubuntu 24.04 mais p ...
Réponses: 4
[Réglé] problème connexion internet sous linux mint 20.03Bonjour,Pourriez-vous m'aider à résoudre le problème suivant : Sur un pc de bureau ACER Aspire M 5910, il y a Linux Mint 20.03 qui est installé mais le souci est au niveau de la connexion internet Ethernet qui ne fonctionne plus alors que le voyant du port Ethernet est bien allumé mais impossible d ...
Réponses: 8
windows 11 impossible ouvrir securite windowsSalut tout le mondeEncore un problème depuis que j'ai migré sur windows 11 à partir de windows 10 depuis update comme sur ma capture écran en accédant par paramètres puis confidentialité et sécurité Windows, je ne peux pas agir en cliquant sur zone de sécurité et les autres commandes, zones de prote ...
Réponses: 56
Installé linux mint sur un pc portableBonsoir Je voudrais offrir un pc portable d'occasion à ma fille pour noël, celui-là ⇒ https://www.leboncoin.fr/ordinateurs/2412594059.htmElle utilise souvent mon pc et elle aime bien mint, alors est-ce que je vais pouvoir installer Linux sur ce pc, sans trop de souci ? Merci
Réponses: 65
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités
|
.: Nous contacter :: Flux RSS :: Données personnelles :. |