Le DSA-1571-1 vient de paraître : il s'agit d'une énorme faille spécifique à Debian introduite dans la version 0.9.8c-1 d'OpenSSL.
Comme le précise l'annonce de sécurité, toutes les clés générés avec une version d'OpenSSL supérieure à la 0.9.8c-1 doivent être considérés comme compromises !
It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.
Comme le montre Nicolas Bareil, la faille, introduite par le mainteneur d'OpenSSL, avait pour but de corriger un bug et faire en sorte que valgrind soit content. Chouette. La solution trouvée pour corriger ce bug a simplement consisté à supprimer un bout de code... faisant ainsi que les clés générés soient prédictibiles... Peter Palfrader a aussitôt annoncé que l'accès par clé SSH aux machines développeurs Debian a été interdite et les mots de passe réinitialisés.
Fair play, Luciano Bello, qui a détecté la faille, demande quand même de ne pas trop taper sur les mainteneurs d'OpenSSL.
Mise à jour : La page SSKeys sur le wiki.debian.org explique comment corriger les clés pour différents paquets de Debian.