Découverte d’une faille de sécurité critique dans OpenSSL de Debian

Une jolie faille dans l’implémentation de openssl sur les systèmes linux de la famille DEBIAN [1] à été découverte et corrigée par une mise à jour le 14 mai 2008 : DSA-1571-1 openssl — predictable random number generator

Dit comme cela c’est pas trop flippant c’est voir même courant.

MAIS !

Cette faille implique que toute les clefs générer depuis le 17 septembre 2009 via openssl, ssh-keygen ou openvpn —keygen sont vulnérable et corruptible. [2]

EN PLUS !

Les clefs de type DSA ou DSS sont compromise / vulnérable car reposant exclusivement sur la génération de nombre aléatoire. DSA-1576-1 openssh — predictable random number generator

Pour comprendre les implications et les mesures à prendre je vous invite à prendre connaissance de cette note du blog Entierement.nu : Branle-bas SSH/SSL

En conclusion :

Mise à jours sur tout les serveurs de la et invalidation ou blocage de toute utilisation de clés potentiellement corrompues. Ceci représente une gros travail tel que décrit sur le wiki DEBIAN SSLkeys.

Ce n’est pas sans impacts (fichiers authorized_keys & know_hosts obsolètes…). Même problème pour les certificats : j’espère que personne n’a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats…


[1] Ubuntu, Mepis, Linspire, Knoppix, tout ce qui marche en .deb mais pas le reste (RH, Fed, Gentoo etc.)

[2] OpenSSH, OpenVPN, certificat X.509, postfix, exim4, sendmail, imapd, https, sftp etc..