Faille de sécurité OpenSSL «heartbleed»

5 réponses

Auteur	Message
Bool \| Modérateur Inscrit le : 09/05/2005	# Le 08/04/2014 à 13:40 Plop les gens, pour ceux qui ne seraient pas au courant, une faille de sécurité critique dans OpenSSL a été annoncée hier soir. Dans les grandes lignes, elle permet à un attaquant d'accéder à toute la mémoire du système (avec pour seule limitation le compte unix des process impactés). Dans le cas d'Apache, elle permet par exemple de voler les certificats SSL des sites... ou beaucoup plus si PHP tourne sous le même compte. Dans le cas de MySQL, elle permet d'accéder à tous les buffers (et donc la plupart des données) et identifiants de connexions. Bref, c'est plutôt sensible, certains la qualifie de faille la plus coûteuse de ces dernières années. Dans l'immédiat il faut surtout mettre à jour très rapidement vos machines. Et redémarrer tous les process qui utilisaient la librairie. Dans le cas d'une Debian wheezy 64bits, pour identifier les process à relancer, vous pouvez utiliser ça : INODE=`stat -c"%i" /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0` ; sudo lsof \| grep libssl \| grep -v " $INODE " Ou plus simplement rebooter le système. Le hic c'est que la faille est présente depuis 2 ans, et qu'on ne sait pas si elle a été exploitée jusque là, vu qu'elle ne laisse aucune trace... Idéalement, il faudrait changer tous les certifs SSL et login/password des services exposés. Quelques liens sur le sujet : - http://heartbleed.com/ [en] - http://linuxfr.org/news/nouvelle-vulnerabilite-dan... [fr] - https://lwn.net/Articles/593683/ [en] daevel : infogérance et conseil \|\| moi
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 08/04/2014 à 19:05 Bool, peut être pourras tu me renseigner, sur debian une mise à jour via apt-get avec les sources stables est elle ok ? de ce que j'ai pu comprendre en lisant sur le site de debian il y a une version custom 1.0.1e qui contient un correctif, mais de l'autre côté tous les communiqués parlent de correctif dans 1.0.1f merci Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 08/04/2014 à 19:55 Oui sous Debian c'est la version «1.0.1e-2+deb7u5» c'est une 1.0.1e sur lequel un correctif a été backporté. Sur LinuxFr ils indiquent également un outil permettant de vérifier de ton coté : http://filippo.io/Heartbleed/#www.ecapote.com daevel : infogérance et conseil \|\| moi
MichaelL \| Michael Membre Inscrit le : 29/01/2009	# Le 08/04/2014 à 20:21 1.0.1e-2+deb7u5 ? J'ai mis à jour et j'ai la 1.0.1e-2+deb7u6 !! Hem, bref, merci Bool
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 08/04/2014 à 21:46 Oui ils ont sorti la v5 en urgence hier soir, j'imagine qu'elle se contente de désactiver l'heartbeat, là où la v6 apporte un vrai correctif. daevel : infogérance et conseil \|\| moi
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 09/04/2014 à 09:11 openssl (1.0.1e-2+deb7u6) wheezy-security; urgency=high * Non-maintainer upload by the Security Team. * Enable checking for services that may need to be restarted * Update list of services to possibly restart -- Salvatore Bonaccorso <carnil@debian.org> Tue, 08 Apr 2014 10:44:53 +0200 openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high * Non-maintainer upload by the Security Team. * Add CVE-2014-0160.patch patch. CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure. A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. -- Salvatore Bonaccorso <carnil@debian.org> Mon, 07 Apr 2014 22:26:55 +0200 Et bien la v6 ne fait qu'apporter le redémarrage semi-automatique de certains paquets (elle ne touche pas MySQL, Pure-FTPd, ou même stud). Le correctif était bien dans la v5. daevel : infogérance et conseil \|\| moi

Auteur

Message

Bool |
Modérateur

Inscrit le : 09/05/2005

# Le 08/04/2014 à 13:40

Plop les gens,

pour ceux qui ne seraient pas au courant, une faille de sécurité critique dans OpenSSL a été annoncée hier soir. Dans les grandes lignes, elle permet à un attaquant d'accéder à toute la mémoire du système (avec pour seule limitation le compte unix des process impactés).
Dans le cas d'Apache, elle permet par exemple de voler les certificats SSL des sites... ou beaucoup plus si PHP tourne sous le même compte.
Dans le cas de MySQL, elle permet d'accéder à tous les buffers (et donc la plupart des données) et identifiants de connexions.

Bref, c'est plutôt sensible, certains la qualifie de faille la plus coûteuse de ces dernières années.

Dans l'immédiat il faut surtout mettre à jour très rapidement vos machines. Et redémarrer tous les process qui utilisaient la librairie.
Dans le cas d'une Debian wheezy 64bits, pour identifier les process à relancer, vous pouvez utiliser ça :

INODE=`stat -c"%i" /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0` ; sudo lsof | grep libssl | grep -v " $INODE "

Ou plus simplement rebooter le système.

Le hic c'est que la faille est présente depuis 2 ans, et qu'on ne sait pas si elle a été exploitée jusque là, vu qu'elle ne laisse aucune trace... Idéalement, il faudrait changer tous les certifs SSL et login/password des services exposés.

Quelques liens sur le sujet :
- http://heartbleed.com/

[en]
- http://linuxfr.org/news/nouvelle-vulnerabilite-dan...

[fr]
- https://lwn.net/Articles/593683/

[en]

daevel : infogérance et conseil || moi

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 08/04/2014 à 19:05

Bool, peut être pourras tu me renseigner,
sur debian une mise à jour via apt-get avec les sources stables est elle ok ?

de ce que j'ai pu comprendre en lisant sur le site de debian il y a une version custom 1.0.1e qui contient un correctif, mais de l'autre côté tous les communiqués parlent de correctif dans 1.0.1f

merci

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 08/04/2014 à 19:55

Oui sous Debian c'est la version «1.0.1e-2+deb7u5» c'est une 1.0.1e sur lequel un correctif a été backporté. Sur LinuxFr ils indiquent également un outil permettant de vérifier de ton coté : http://filippo.io/Heartbleed/#www.ecapote.com

daevel : infogérance et conseil || moi

MichaelL | Michael
Membre

Inscrit le : 29/01/2009

# Le 08/04/2014 à 20:21

1.0.1e-2+deb7u5 ? J'ai mis à jour et j'ai la 1.0.1e-2+deb7u6 !!

Hem, bref, merci Bool

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 08/04/2014 à 21:46

Oui ils ont sorti la v5 en urgence hier soir, j'imagine qu'elle se contente de désactiver l'heartbeat, là où la v6 apporte un vrai correctif.

daevel : infogérance et conseil || moi

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 09/04/2014 à 09:11

openssl (1.0.1e-2+deb7u6) wheezy-security; urgency=high

* Non-maintainer upload by the Security Team.
* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

-- Salvatore Bonaccorso <carnil@debian.org> Tue, 08 Apr 2014 10:44:53 +0200

openssl (1.0.1e-2+deb7u5) wheezy-security; urgency=high

* Non-maintainer upload by the Security Team.
* Add CVE-2014-0160.patch patch.
CVE-2014-0160: Fix TLS/DTLS hearbeat information disclosure.
A missing bounds check in the handling of the TLS heartbeat extension
can be used to reveal up to 64k of memory to a connected client or
server.

-- Salvatore Bonaccorso <carnil@debian.org> Mon, 07 Apr 2014 22:26:55 +0200

Et bien la v6 ne fait qu'apporter le redémarrage semi-automatique de certains paquets (elle ne touche pas MySQL, Pure-FTPd, ou même stud). Le correctif était bien dans la v5.

daevel : infogérance et conseil || moi

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.