Faille critique Debian

32 réponses

Page 1 2

Auteur	Message
caaptusss \| Membre Inscrit le : 25/09/2007	# Le 16/05/2008 à 21:35 Pour ceux qui ne seraient pas abonnés aux newsletters de dedibox ou d'ovh ou qui ne consulteraient pas les news de sécurité : Une faille critique dans la distribution Debian depuis le 17/09/2006 et Ubuntu 7.04, 7.10 et 8.04, concernant la génération des clefs SSH à été découverte Mardi dernier. Pour plus de détails : - http://www.ubuntu.com/usn/usn-612-2 - http://lists.debian.org/debian-security-announce/2... En francais : - http://www.linuxfr.org/2008/05/15/24092.html Pour corriger la faille, exécutez les commandes suivantes : root:~# apt-get update root:~# apt-get upgrade openssh-client openssh-server openssl root:~# rm -f /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys Dans tous les cas, dans le doute, effacez et regénérez l'intégralité de vos clefs SSH, OpenVPN etc... même si vous n'utilisez pas Debian ou Ubuntu, elles peuvent avoir été initialement générées sur une Debian ! Les clefs Dedibox ou OVH ne sont pas impactés. FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 17/05/2008 à 11:33 Et c'est vachement rigolo de régénerer toutes les clés SSH et autres certificats de l'ensemble des machines... Par contre pour la joli procédure de mise à jour, elle me semble fausse : t'as chopé ça où ? Je ne suis pas certain que l'upgrade seul suffise, étant donné qu'un nouveau paquet est introduit (openssh-blacklist). Préferer un aptitude dist-upgrade à mon avis. Et lors de la mise à jour d'openssh-server, il va justement regénérée les clés de la machine... donc les effacer juste derrière c'est balo. Ensuite effacer le "authorized_keys" à l'aveugle, c'est "couillon" : c'est un coup à perdre tout accès à la machine, et surtout ça ne sert à rien puisque SSH refusera les éventuelles clés compromises (j'ai testé pour vous ). daevel : infogérance et conseil \|\| moi
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 17/05/2008 à 11:46 C'est un extrait du mail de debibox. J'ai pas eu l'occasion de tester, je bosse exclusivement sur gentoo ^^ FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 17/05/2008 à 11:55 Bah ça promet. Quelle bonne idée ils ont eu chez Debian de modifier une appli aussi sensible qu'OpenSSL... Par contre je viens de relire, le "rm" n'efface pas les clés, c'est déjà ça. Il se contente juste de sucrer toutes les identifications... daevel : infogérance et conseil \|\| moi
acti \| Stéphane Modérateur Inscrit le : 13/11/2005	# Le 17/05/2008 à 12:10 Il y a effectivement une faille de sécurité sous Debian sur les clés SSH et certificats. En fait, cette faille est présente depuis 2006 et vient seulement d'être soulevée. Ce qui veut dire que tous les certificats SSL et les clés SSH générées sur une Debian (ou ses dérivée) depuis 2006 l'ont été à partir d'un intervalle de possibilités très restreint (environ 250 000 clés). Voici une procédure de mise à jour : http://wiki.debian.org/SSLkeys après avoir mis à jour "openssh" et "openssl". Stéphane
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 18:58 hein hein hein, je viens de tomber sur un script Perl qui met moins de 20 minutes à obtenir l'accès SSH sur une machine utilisant une clé issue de Debian... Sympa non ? daevel : infogérance et conseil \|\| moi
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 20:03 depuis le temps que je vous dit d'utiliser Fedora Core ;) @+ Jean-Philippe
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 20:04 Bool a dit : hein hein hein, je viens de tomber sur un script Perl qui met moins de 20 minutes à obtenir l'accès SSH sur une machine utilisant une clé issue de Debian... Sympa non ? C'est une honte sérieux !! Tu peux me le passer que je test mes serveurs ? Normalement j'ai fait la manip mais bon ... je préfère vérifier. @+ Jean-Philippe
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 20:14 normalement il y a l'outil "ssh-vulney" qui est maintenant fourni avec OpenSSL ; c'est plus simple et plus rapide pour vérifier les clés de ses machines ;) Et Fedora Core ça pue daevel : infogérance et conseil \|\| moi
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 18/05/2008 à 20:17 Bool a dit : Et Fedora Core ça pue Ouai ! Na !! FirstHeberg.com
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 20:20 En passant, si certains ont mon ancienne clé SSH qui traine sur leur serveur, il est fortement conseillé de l'effacer... daevel : infogérance et conseil \|\| moi
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 21:45 caaptusss a dit : Bool a dit : Et Fedora Core ça pue Ouai ! Na !! C'est pour sa que c'est utilisé par toutes les plus grandes banques Debian c'est un truc d'amateur ! ( :mode provoque: ) @+ Jean-Philippe
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 18/05/2008 à 21:50 Il s'en fout le caaptusss, il est sous le clicodrome OVH A un an près, il aurait eu la magnifique Redhat 7 de 2001 toute rafistolée par OVH. (et à mon avis les banques sont sous Redhat uniquement pour le contrat d'assistance derrière ) daevel : infogérance et conseil \|\| moi
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 18/05/2008 à 21:52 Bool a dit : Il s'en fout le caaptusss, il est sous le clicodrome OVH flush a dit : Debian c'est un truc d'amateur ! ( :mode provoque: ) Menfou Bande de G33k va ! FirstHeberg.com
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 18/05/2008 à 23:10 Bool a dit : normalement il y a l'outil "ssh-vulney" je trouve pas. T'es sur que c'est écrit comme ça ? Chambres d'hote tavel Séjours en provence Forum mariage
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 19/05/2008 à 00:17 Certain Rano. Sous Debian l'outil est fourni dans le packet openssh-blacklist. daevel : infogérance et conseil \|\| moi
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 19/05/2008 à 09:34 ah ok, j'avais pas le packet blacklist. Merci Chambres d'hote tavel Séjours en provence Forum mariage
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 19/05/2008 à 09:38 C'est inquiètant je dirais : il est sensé s'installer automatiquement avec la version "corrigée" d'openssh-server. T'avais pas mis à jour ? daevel : infogérance et conseil \|\| moi
mirage \| Vincent Modérateur Inscrit le : 04/05/2005	# Le 19/05/2008 à 10:48 Moi il ne s'est pas installé avec un update/upgrade mais il est venu avec dist-upgrade (j'ai simulé pour savoir s'il venait avec parce que je cherchais aussi à vérifier). Je ne sais pas si ça vient de l'installation Debian Etch d'OVH mais sur un serveur de sauvegarde avec installation maison, il s'est installé avec le update/upgrade.
Rano \| Jean Modérateur Inscrit le : 13/04/2005	# Le 19/05/2008 à 10:57 Euh non, il s'est pas mis avec un update/upgrade. C'est à dire qu'avec l'upgrade, ca a mis à jour openssh-client et server. Mais pas de paquet blacklist. Par contre, après avoir installé le paquet blacklist, un upgrade a de nouveau mis à jour openssh-client et server. Au final, sur une vingtaine de machine, je n'avais que deux clés compromises. Ca va. J'ai juste réinstallé une machine au cas où Chambres d'hote tavel Séjours en provence Forum mariage

Auteur

Message

Inscrit le : 25/09/2007

# Le 16/05/2008 à 21:35

Pour ceux qui ne seraient pas abonnés aux newsletters de dedibox ou d'ovh ou qui ne consulteraient pas les news de sécurité :

Une faille critique dans la distribution Debian depuis le 17/09/2006
et Ubuntu 7.04, 7.10 et 8.04, concernant la génération des clefs SSH
à été découverte Mardi dernier.

Pour plus de détails :
- http://www.ubuntu.com/usn/usn-612-2

- http://lists.debian.org/debian-security-announce/2...

En francais :
- http://www.linuxfr.org/2008/05/15/24092.html

Pour corriger la faille, exécutez les commandes suivantes :
root:~# apt-get update
root:~# apt-get upgrade openssh-client openssh-server openssl
root:~# rm -f /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys

Dans tous les cas, dans le doute, effacez et regénérez l'intégralité de vos
clefs SSH, OpenVPN etc... même si vous n'utilisez pas Debian ou Ubuntu, elles
peuvent avoir été initialement générées sur une Debian !

Les clefs Dedibox ou OVH ne sont pas impactés.

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 17/05/2008 à 11:33

Et c'est vachement rigolo de régénerer toutes les clés SSH et autres certificats de l'ensemble des machines...

Par contre pour la joli procédure de mise à jour, elle me semble fausse : t'as chopé ça où ?
Je ne suis pas certain que l'upgrade seul suffise, étant donné qu'un nouveau paquet est introduit (openssh-blacklist). Préferer un aptitude dist-upgrade à mon avis.
Et lors de la mise à jour d'openssh-server, il va justement regénérée les clés de la machine... donc les effacer juste derrière c'est balo.

Ensuite effacer le "authorized_keys" à l'aveugle, c'est "couillon" : c'est un coup à perdre tout accès à la machine, et surtout ça ne sert à rien puisque SSH refusera les éventuelles clés compromises (j'ai testé pour vous ).

daevel : infogérance et conseil || moi

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 17/05/2008 à 11:46

C'est un extrait du mail de debibox. J'ai pas eu l'occasion de tester, je bosse exclusivement sur gentoo ^^

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 17/05/2008 à 11:55

Bah ça promet. Quelle bonne idée ils ont eu chez Debian de modifier une appli aussi sensible qu'OpenSSL...

Par contre je viens de relire, le "rm" n'efface pas les clés, c'est déjà ça. Il se contente juste de sucrer toutes les identifications...

daevel : infogérance et conseil || moi

acti | Stéphane
Modérateur

Inscrit le : 13/11/2005

# Le 17/05/2008 à 12:10

Il y a effectivement une faille de sécurité sous Debian sur les clés SSH et certificats. En fait, cette faille est présente depuis 2006 et vient seulement d'être soulevée. Ce qui veut dire que tous les certificats SSL et les clés SSH générées sur une Debian (ou ses dérivée) depuis 2006 l'ont été à partir d'un intervalle de possibilités très restreint (environ 250 000 clés).

Voici une procédure de mise à jour : http://wiki.debian.org/SSLkeys après avoir mis à jour "openssh" et "openssl".

Stéphane

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 18:58

hein hein hein, je viens de tomber sur un script Perl qui met moins de 20 minutes à obtenir l'accès SSH sur une machine utilisant une clé issue de Debian... Sympa non ?

daevel : infogérance et conseil || moi

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 20:03

depuis le temps que je vous dit d'utiliser Fedora Core ;)

@+ Jean-Philippe

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 20:04

Bool a dit :
hein hein hein, je viens de tomber sur un script Perl qui met moins de 20 minutes à obtenir l'accès SSH sur une machine utilisant une clé issue de Debian... Sympa non ?

C'est une honte sérieux !!

Tu peux me le passer que je test mes serveurs ? Normalement j'ai fait la manip mais bon ... je préfère vérifier.

@+ Jean-Philippe

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 20:14

normalement il y a l'outil "ssh-vulney" qui est maintenant fourni avec OpenSSL ; c'est plus simple et plus rapide pour vérifier les clés de ses machines ;)
Et Fedora Core ça pue

daevel : infogérance et conseil || moi

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 18/05/2008 à 20:17

Bool a dit :
Et Fedora Core ça pue

Ouai ! Na !!

FirstHeberg.com

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 20:20

En passant, si certains ont mon ancienne clé SSH qui traine sur leur serveur, il est fortement conseillé de l'effacer...

daevel : infogérance et conseil || moi

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 21:45

caaptusss a dit :

Bool a dit :
Et Fedora Core ça pue

Ouai ! Na !!

C'est pour sa que c'est utilisé par toutes les plus grandes banques

Debian c'est un truc d'amateur ! ( :mode provoque: )

@+ Jean-Philippe

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 18/05/2008 à 21:50

Il s'en fout le caaptusss, il est sous le clicodrome OVH A un an près, il aurait eu la magnifique Redhat 7 de 2001 toute rafistolée par OVH.

(et à mon avis les banques sont sous Redhat uniquement pour le contrat d'assistance derrière )

daevel : infogérance et conseil || moi

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 18/05/2008 à 21:52

Bool a dit :
Il s'en fout le caaptusss, il est sous le clicodrome OVH

flush a dit :
Debian c'est un truc d'amateur ! ( :mode provoque: )

Menfou

Bande de G33k va !

FirstHeberg.com

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 18/05/2008 à 23:10

Bool a dit :
normalement il y a l'outil "ssh-vulney"

je trouve pas. T'es sur que c'est écrit comme ça ?

Chambres d'hote tavel
Séjours en provence
Forum mariage

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 19/05/2008 à 00:17

Certain Rano. Sous Debian l'outil est fourni dans le packet openssh-blacklist.

daevel : infogérance et conseil || moi

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 19/05/2008 à 09:34

ah ok, j'avais pas le packet blacklist. Merci

Chambres d'hote tavel
Séjours en provence
Forum mariage

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 19/05/2008 à 09:38

C'est inquiètant je dirais : il est sensé s'installer automatiquement avec la version "corrigée" d'openssh-server. T'avais pas mis à jour ?

daevel : infogérance et conseil || moi

mirage | Vincent
Modérateur

Inscrit le : 04/05/2005

# Le 19/05/2008 à 10:48

Moi il ne s'est pas installé avec un update/upgrade mais il est venu avec dist-upgrade (j'ai simulé pour savoir s'il venait avec parce que je cherchais aussi à vérifier).

Je ne sais pas si ça vient de l'installation Debian Etch d'OVH mais sur un serveur de sauvegarde avec installation maison, il s'est installé avec le update/upgrade.

Rano | Jean
Modérateur

Inscrit le : 13/04/2005

# Le 19/05/2008 à 10:57

Euh non, il s'est pas mis avec un update/upgrade.
C'est à dire qu'avec l'upgrade, ca a mis à jour openssh-client et server. Mais pas de paquet blacklist. Par contre, après avoir installé le paquet blacklist, un upgrade a de nouveau mis à jour openssh-client et server.

Au final, sur une vingtaine de machine, je n'avais que deux clés compromises. Ca va. J'ai juste réinstallé une machine au cas où

Chambres d'hote tavel
Séjours en provence
Forum mariage

Page 1 2

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.