[silicon.fr] Linux : une faille critique corrigée dans la Debian
Extrait de l'article du site par en date du :
« http://www.silicon.fr/fr/news/2008/05/15/linux___une_faille_critique_cor...
Une faille très importante a été découverte dans l'implémentation d'OpenSSL livrée avec la distribution Linux Debian. Toutes les versions d'OpenSSL depuis la 0.9.8c-1 (de septembre 2006 !) sont impactées.
Le bogue touche le générateur de nombres aléatoires d'OpenSSL, qui créé des résultats prévisibles (difficilement toutefois), ce qui permet de deviner les clés de chiffrement.
Les clés SSH, OpenVPN, DNSSEC, les clés de session SSL/TLS et les certificats X.509 sont tous touchés par cette faille. Les clés générées par GnuPG ou GNUTLS ne sont toutefois pas affectées.
Un correctif a été publié. En principe, que vous utilisiez la Debian ou une distribution Linux basée sur la Debian (comme l'Ubuntu), le gestionnaire de mises à jour a du vous proposer une nouvelle version d'OpenSSL hier.
Il se peut toutefois que votre système ne soit pas touché, si vous utilisez des paquets logiciels de développement… ou tout simplement si OpenSSL n'est pas installé ! Vous pouvez vérifier quelle est la version présente en tapant « openssl version » dans un terminal.
En tout état de cause, si « ssh-vulnkey » est présent sur votre système, cela signifie que le correctif a bien été appliqué. La page suivante du site de la Debian, montre comment utiliser cet outil pour repérer les clés vulnérables. Il 'suffit' alors d'en générer de nouvelles pour que tout rentre dans l'ordre. »
Lien vers l'article original :
Cette revue de presse sur Internet fait partie du travail de veille mené par l'April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l'April.
Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.