15 May 22:11
HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
From: Mathieu Chappuis <mathieu.chappuis.lists <at> gmail.com>
Subject: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
Newsgroups: gmane.linux.debian.user.french
Date: 2008-05-15 20:14:16 GMT
Subject: HTTPS : Ne dormez pas tranquilles (open-ssl advisory dsa-1571)
Newsgroups: gmane.linux.debian.user.french
Date: 2008-05-15 20:14:16 GMT
Bonsoir, Toujours à propos de : http://www.debian.org/security/2008/dsa-1571 " Luciano Bello discovered that the random number generator in Debian's openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a result, cryptographic key material may be guessable " J'insiste, mais il n'y a pas que la partie SSH qui est touchée.. Si comme moi vous avez généré des demandes de certificats SSL à partir d'une version compromise d'open-ssl (debian) vous pouvez vite demander une regénération complète de vos certificats à votre prestataire, quand c'est possible, car vos .key ne valent pas clopette.. # openssl-vulnkey monsite.key Enter pass phrase for monsite.key: Enter pass phrase for monsite.key: COMPROMISED: ee257875dc2395304e8518fd6b62006847ad56a7 monsite.key Le package n'est pas proposé dans testing : voilà un lien http://wiki.debian.org/SSLkeys?action=AttachFile&do=get&target=openssl-blacklist_0.1-0%7Edebian-1_all.deb Sinon voir : http://wiki.debian.org/SSLkeys Bon week-end à tous!!!
RSS Feed