Une faille très importante a été découverte dans l’implémentation d’OpenSSL livrée avec la distribution Linux Debian. Toutes les versions d’OpenSSL depuis la 0.9.8c-1 (de septembre 2006 !) sont impactées.
Le bogue touche le générateur de nombres aléatoires d’OpenSSL, qui créé des résultats prévisibles (difficilement toutefois), ce qui permet de deviner les clés de chiffrement.
Les clés SSH, OpenVPN, DNSSEC, les clés de session SSL/TLS et les certificats X.509 sont tous touchés par cette faille. Les clés générées par GnuPG ou GNUTLS ne sont toutefois pas affectées.
Un correctif a été publié. En principe, que vous utilisiez la Debian ou une distribution Linux basée sur la Debian (comme l’Ubuntu), le gestionnaire de mises à jour a du vous proposer une nouvelle version d’OpenSSL hier.
Il se peut toutefois que votre système ne soit pas touché, si vous utilisez des paquets logiciels de développement… ou tout simplement si OpenSSL n’est pas installé ! Vous pouvez vérifier quelle est la version présente en tapant « openssl version » dans un terminal.
En tout état de cause, si « ssh-vulnkey » est présent sur votre système, cela signifie que le correctif a bien été appliqué. La page suivante du site de la Debian, montre comment utiliser cet outil pour repérer les clés vulnérables. Il ‘suffit’ alors d’en générer de nouvelles pour que tout rentre dans l’ordre.
Le Conseil d’Administration de l’Association des Utilisateurs SAP Francophones ( USF) a réélu Gianmaria Perancin…
Le secteur du transport aérien utilise des algorithmes depuis des années. Mais cette chasse gardée…
Une option de traitement par lots est arrivée sur l'API OpenAI. Voici quelques clés de…
De la migration vers VCD aux engagements pour les clients SecNumCloud, OVHcloud esquisse le devenir…
OpenAI ouvre son premier bureau en Asie à Tokyo. Quelques jours après l'annonce d'un investissement…
Après 500 millions de tokens traités avec GPT-3.5 Turbo et GPT-4 via l'API OpenAI, une…