Auteur Sujet: Vulnérabilité dans OpenSSL (Lu 9979 fois)

BadMax · « **Réponse #12 le:** 09 avril 2014 à 19:54:47 »

Du coup, par mesure de sécurité, il ne faut plus utiliser https ?!?

Ca me rappelle un débat avec un collègue sur le déploiement de ssh sur des Cisco distants sur Internet. Pour lui c'était indispensable. Pour moi non vu que j'avais mis une politique Tacacs très restrictive empechant toute re-utilisation d'un login/mdp compromis. Quelques jours passent et Cisco sort une faille affectant le service ssh de ses équipements. Le genre de grosse faille où la désactivation du service était la seule solution possible. En fait, si on avait déployé, on aurait été compromis rapidement...

Aaah les joies de la sécurité informatique...

butler_fr · « **Réponse #13 le:** 09 avril 2014 à 20:12:14 »

Citation de: Polynesia le 09 avril 2014 à 19:43:16

celle vulnérabilité touche juste les serveurs ou aussi les particuliers ?

Firefox 29 beta 6 et windows 8.1 pro ?

openssl est une librairie utilisée principalement dans le monde linux
tous les pc linux qui ont un service ou des clients peuvent se connecter (serveur web / ftp / ssh ....) sont susceptibles d'être touché.

par contre en tant que client pour toi le risque c'est qu'un serveur non sécurisé laisse passer tes donnés (login/mdp)
donc indirectement tu es touché

Polynesia · « **Réponse #14 le:** 09 avril 2014 à 20:42:24 »

à ok. Vivien à corriger la faille sur son serveur ?

Marin · « **Réponse #15 le:** 09 avril 2014 à 20:51:00 »

Oui,

Citation de: Optix le 09 avril 2014 à 15:44:33

http://filippo.io/Heartbleed/#lafibre.info

Polynesia · « **Réponse #16 le:** 09 avril 2014 à 20:56:34 »

ok merci

corrector · « **Réponse #17 le:** 09 avril 2014 à 22:44:22 »

MODERATION :
Ce topic concerne les bugs d'OpenSSL.
Le début de discussion concernant l'architecture du protocole TLS et du déploiement du HTTPS, et notamment la problématique du rôle des tiers de confiance dans TLS a été déplacé :

La sécurité de TLS se base sur une assertion qui est fausse.

(Ce qui est un thème particulièrement intéressant sur lequel il y a beaucoup à dire.)

corrector · « **Réponse #18 le:** 09 avril 2014 à 22:58:38 »

Je réalise que ce souci concerne aussi Tor.

(C'est moi qui met en exergue certaines parties.)

OpenSSL bug CVE-2014-0160

Posted April 7th, 2014 by arma in openssl security advisory

A new OpenSSL vulnerability on 1.0.1 through 1.0.1f is out today, which can be used to reveal memory to a connected client or server.

If you're using an older OpenSSL version, you're safe.

Note that this bug affects way more programs than just Tor — expect everybody who runs an https webserver to be scrambling today. If you need strong anonymity or privacy on the Internet, you might want to stay away from the Internet entirely for the next few days while things settle.

Here are our first thoughts on what Tor components are affected:

Clients: The browser part of Tor Browser shouldn't be affected, since it uses libnss rather than openssl. But the Tor client part is: Tor clients could possibly be induced to send sensitive information like "what sites you visited in this session" to your entry guards. If you're using TBB we'll have new bundles out shortly; if you're using your operating system's Tor package you should get a new OpenSSL package and then be sure to manually restart your Tor.

Relays and bridges: Tor relays and bridges could maybe be made to leak their medium-term onion keys (rotated once a week), or their long-term relay identity keys. An attacker who has your relay identity key can publish a new relay descriptor indicating that you're at a new location (not a particularly useful attack). An attacker who has your relay identity key, has your onion key, and can intercept traffic flows to your IP address can impersonate your relay (but remember that Tor's multi-hop design means that attacking just one relay in the client's path is not very useful). In any case, best practice would be to update your OpenSSL package, discard all the files in keys/ in your DataDirectory, and restart your Tor to generate new keys. (You will need to update your MyFamily torrc lines if you run multiple relays.)

Hidden services: Tor hidden services might leak their long-term hidden service identity keys to their guard relays. Like the last big OpenSSL bug, this shouldn't allow an attacker to identify the location of the hidden service, but an attacker who knows the hidden service identity key can impersonate the hidden service. Best practice would be to move to a new hidden-service address at your convenience.

Directory authorities: In addition to the keys listed in the "relays and bridges" section above, Tor directory authorities might leak their medium-term authority signing keys. Once you've updated your OpenSSL package, you should generate a new signing key. Long-term directory authority identity keys are offline so should not be affected (whew). More tricky is that clients have your relay identity key hard-coded, so please don't rotate that yet. We'll see how this unfolds and try to think of a good solution there.
Tails is still tracking Debian oldstable, so it should not be affected by this bug.

Orbot looks vulnerable; they have some new packages available for testing.

The webservers in the https://www.torproject.org/ rotation needed (and got) upgrades. Maybe we'll need to throw away our torproject SSL web cert and get a new one too.

https://blog.torproject.org/blog/openssl-bug-cve-2014-0160

Conclusion : Tor est vraiment très sérieusement concerné.

Qu'en pensez-vous? Est-ce que la NSA pouvait l'ignorer? Est-ce que la NSA pouvait cacher cela? Est-ce qu'elle l'a caché à ses alliés et ses agents?

Est-ce qu'en fin de compte la NSA ne serait pas aussi nulle que les dév d'OpenSSL?

vivien · « **Réponse #19 le:** 09 avril 2014 à 23:52:25 »

Citation de: Polynesia le 09 avril 2014 à 20:42:24

à ok. Vivien à corriger la faille sur son serveur ?

Le test indiquait que le site n'était pas vulnérable, je ne sais pas si c'était une erreur du test, car j'étais bien sur une version impactée.

Je viens de pousser le correctif et de faire un reboot complet, cela faisait 2 mois que je n'avais pas fait de reboot.
Désolé pour la petite coupure.

corrector · « **Réponse #20 le:** 09 avril 2014 à 23:57:43 »

Aie!

Donc potentiellement les données du serveur peuvent avoir été récupérées...

Y compris :
- les cookies d'identification
- les login/mdp
- la clé TLS du serveur
...

butler_fr · « **Réponse #21 le:** 09 avril 2014 à 23:58:40 »

aaaaaaaaaaaaaahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh!!!!!!

lafibre.info est resté down 2 minutes!!!!!!!

on va tous mourir!!!!!!!!!!!

oups je crois que j'en fais un peu trop

non plus sérieusement même pas vus passer la coupure!

ps: pour mon site le test indiquait bien que j'avais le bug!

Marin · « **Réponse #22 le:** 10 avril 2014 à 00:07:04 »

Citation de: vivien le 09 avril 2014 à 23:52:25

Le test indiquait que le site n'étais pas vulnérable, je ne sais pas si c'était une erreur du test, car j'étais bien sur une version impactée.

J'ai vu deux tests différents dire que le site n'était pas vulnérable.

Il me semble que la faille dépend d'une extension d'OpenSSL, Hearbeat, qui n'est pas activée chez tout le monde ?

Quelle était la version avant la mise à jour ? Elle venait de quel dépôt ?

vivien · « **Réponse #23 le:** 10 avril 2014 à 00:14:20 »

La version n'a pas changée, elle a juste été patché :

$ openssl version
OpenSSL 1.0.1e 11 Feb 2013

C'est Ubuntu Server 13.10. Dans le monde Debian, les correctif sont généralement rétro-porté afin de ne pas entraîner de régression.

Heartbleed : 17% des sites Web utilisant SSL vulnérables ?

Selon le spécialiste Netcraft, 500.000 sites Web sont impactés par cette faille critique dans la bibliothèque logicielle de chiffrement OpenSSL.

Danger sur le Web ? Ce mardi, nous évoquions ici la découverte d'Heartbleed, une vulnérabilité critique qui touche la bibliothèque logicielle de chiffrement OpenSSL (versions 1.0.1 et la bêta de la 1.0.2 d'OpenSSL).

De quoi impacter l'implèmentation des protocoles SSL et TLS, qui sont au coeur de la sécurité sur Internet. D'autant que Heartbleed a été publiée alors que beaucoup d'entreprises et d'éditeurs logiciels n'ont pas eu le temps de pousser une version corrigée d'OpenSSL sur les systèmes de leurs clients.

Correctif 1.0.1g sur les rails

La faille peut permettre de révéler le contenu d'un message sécurisé et chiffré - une transaction par carte de crédit en HTTPS, au hasard - ainsi que les clés SSL primaire et secondaire elles-mêmes. Ce qui pourrait servir en théorie à passer outre la sécurité d'un serveur sans laisser de trace.

Heartbleed serait le résultat d'une erreur de programmation dans les dernières versions d'OpenSSL. Ce qui est finalement plutôt rassurant, la faille n'étant pas implèmentée au coeur de la bibliothèque. Un correctif est d'ailleurs disponible dans une version 1.0.1g d'OpenSSL, et devrait apparaître pour la bêta de la 1.0.2.

Pour autant, de nombreux sites Web sont aujourd'hui vulnérables et susceptibles de voir des données sensibles être détournées. Selon le spécialiste Netcraft, 17,5% des sites qui utilisent le protocole SSL sont potentiellement en danger, soit 500.000 sites environ.

Il semblerait que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox ne sont pas concernés.

Cela dit, la question des correctifs devrait être assez polémique dans les prochaines heures. Plusieurs éditeurs reprochent déjà à Cloudflare, spécialiste de la sécurité, d'avoir publié les détails de la faille dans un billet de blog alors qu'ils n'ont pas encore eu le temps de corriger le logiciel.

Et côté utilisateurs ?

Cloudflare a sauté sur l'occasion pour se faire un peu de pub, et décrit quelques méthodes de correction... Méthodes qui n'étaient pas disponibles pour un déploiement plus large. Comme le résume un spécialiste de la sécurité à ZDNet.com, "vous n'ouvrez pas la porte en agitant le drapeau rouge avant que les correctifs soient disponibles".

Red Hat, Debian, SuSE, Canonical, Oracle et d'autres sont sur le pont pour pousser des versions corrigées d'OpenSSL à leurs clients. Une opération qui pourrait prendre encore quelques heures pour certains éditeurs. Il est inutile de préciser qu'une fois les correctifs publiés, il y a tout intérêt à les installer le plus rapidement possible.

Côté utilisateurs, les mesures de prévention ne sont pas nombreuses. Cet outil permet de vérifier si un site est vulnérable mais son efficacité n'est pas garantie à 100%. Un changement de mot de passe pour vos services en ligne sera également peut-être nécessaire.

Source : ZD Net, le 10 avril 2014

Auteur Sujet: Vulnérabilité dans OpenSSL (Lu 9979 fois)

BadMax

Vulnérabilité dans OpenSSL

butler_fr

Vulnérabilité dans OpenSSL

Polynesia

Vulnérabilité dans OpenSSL

Marin

Vulnérabilité dans OpenSSL

Polynesia

Vulnérabilité dans OpenSSL

corrector

Vulnérabilité dans OpenSSL

corrector

Vulnérabilité dans OpenSSL : Tor est impacté

vivien

Vulnérabilité dans OpenSSL

corrector

Vulnérabilité dans OpenSSL : lafibre concernée

butler_fr

Vulnérabilité dans OpenSSL

Marin

Vulnérabilité dans OpenSSL

vivien

Vulnérabilité dans OpenSSL