Blog - Olivier Tétard - Mot-clé - SSL https://olivier.miskin.fr/blog/index.php/ fr Sun, 12 Apr 2026 22:01:39 +0200 Le contenu de ce site est diffusé sous licence <a href="http://creativecommons.org/licenses/by-sa/3.0/deed.fr"> Creative Commons 3.0 by-sa</a>. http://blogs.law.harvard.edu/tech/rss Dotclear Énorme faille dans OpenSSL de Debian https://olivier.miskin.fr/blog/index.php/post/2008/05/13/Enorme-faille-dans-OpenSSL-de-Debian urn:md5:b1f6697380a6919656d0b2f872deeb66 Tue, 13 May 2008 22:00:00 +0200 Olivier « toutoune25 » Tétard Logiciel libre DebianSSLSécurité <p>Le <a href="http://www.debian.org/security/2008/dsa-1571">DSA-1571-1</a> vient de paraître&nbsp;: il s'agit d'une énorme faille <strong>spécifique à Debian</strong> introduite dans la version 0.9.8c-1 d'OpenSSL.</p> <p>Comme le précise l'annonce de sécurité, toutes les clés générés avec une version d'OpenSSL supérieure à la 0.9.8c-1 doivent être considérés comme compromises&nbsp;!</p> <blockquote><p><q>It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.</q></p></blockquote> <p>Comme le montre <a href="http://chdir.org/~nico/blog/posts/La_fin_du_monde__44___OpenSSL_m__39__a_tuer.../">Nicolas Bareil</a>, la faille, introduite par le mainteneur d'OpenSSL, avait pour but de corriger un <a href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516">bug</a> et faire en sorte que <a href="http://fr.wikipedia.org/wiki/Valgrind">valgrind</a> soit content. Chouette. La solution trouvée pour corriger ce bug a simplement consisté à supprimer un bout de code... faisant ainsi que les clés générés soient prédictibiles... Peter Palfrader a aussitôt <a href="http://thread.gmane.org/gmane.linux.debian.devel.announce/1219" hreflang="en">annoncé</a> que l'accès par clé SSH aux machines développeurs Debian a été interdite et les mots de passe réinitialisés.</p> <p>Fair play, <a href="http://community.livejournal.com/lbello_english/7900.html" hreflang="en">Luciano Bello</a>, qui a détecté la faille, demande quand même de ne pas trop taper sur les <a href="http://qa.debian.org/developer.php?login=pkg-openssl-devel%40lists.alioth.debian.org" hreflang="en">mainteneurs d'OpenSSL</a>.</p> <p><strong>Mise à jour</strong>&nbsp;: La <a href="http://wiki.debian.org/SSLkeys" hreflang="en">page SSKeys</a> sur le <a href="http://wiki.debian.org" hreflang="en">wiki.debian.org</a> explique comment corriger les clés pour différents paquets de Debian.</p> https://olivier.miskin.fr/blog/index.php/post/2008/05/13/Enorme-faille-dans-OpenSSL-de-Debian#comment-form https://olivier.miskin.fr/blog/index.php/post/2008/05/13/Enorme-faille-dans-OpenSSL-de-Debian#comment-form https://olivier.miskin.fr/blog/index.php/feed/atom/comments/525