Faille OpenSSL/Debian
mardi 13 mai 2008
En réponse à la faille critique DSA-1571 parue aujourd'hui :
Voici un résumé rapide de certaines opérations urgentes à effectuer ( liste non exhaustive ).
Pour plus d'informations vous pouvez consulter la page dédiée sur wiki.debian.org.Mettre à jour le système
aptitude update && aptitude upgradeRegénerer la clé du serveur OpenSSH
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -N '' -t rsa ssh-keygen -f /etc/ssh/ssh_host_dsa_key -N '' -t dsa /etc/init.d/ssh restartRegénerer vos propres clés
A faire sur un système à jour bien sur.
Supprimer les clés utilisateurs impactées
Un script fourni par Debian permet de les détecter : http://security.debian.org/project/extra/dowkd.
Attention l'auteur signale que celui-ci peut donner des faux positifs ou des faux négatifs.Ensuite vous pouvez lancer par exemple :
for i in /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys; do perl ./dowkd.pl file $i; doneRegénerer vos certificats SSL
Pour votre serveur mail, web, VPN,...
