Linux : une faille critique corrigée dans la Debian

Une faille très importante a été découverte dans l’implémentation d’OpenSSL livrée avec la distribution Linux Debian. Toutes les versions d’OpenSSL depuis la 0.9.8c-1 (de septembre 2006 !) sont impactées.

Le bogue touche le générateur de nombres aléatoires d’OpenSSL, qui créé des résultats prévisibles (difficilement toutefois), ce qui permet de deviner les clés de chiffrement.

Les clés SSH, OpenVPN, DNSSEC, les clés de session SSL/TLS et les certificats X.509 sont tous touchés par cette faille. Les clés générées par GnuPG ou GNUTLS ne sont toutefois pas affectées.

Un correctif a été publié. En principe, que vous utilisiez la Debian ou une distribution Linux basée sur la Debian (comme l’Ubuntu), le gestionnaire de mises à jour a du vous proposer une nouvelle version d’OpenSSL hier.

Il se peut toutefois que votre système ne soit pas touché, si vous utilisez des paquets logiciels de développement… ou tout simplement si OpenSSL n’est pas installé ! Vous pouvez vérifier quelle est la version présente en tapant « openssl version » dans un terminal.

En tout état de cause, si « ssh-vulnkey » est présent sur votre système, cela signifie que le correctif a bien été appliqué. La page suivante du site de la Debian, montre comment utiliser cet outil pour repérer les clés vulnérables. Il ‘suffit’ alors d’en générer de nouvelles pour que tout rentre dans l’ordre.