Petite modification, grandes conséquences.

Un des packageurs de Debian avait juste mis une ligne en commentaire dans les sources d'OpenSSL concernant le générateur de nombres aléatoires.
Conséquence: Le générateur de nombre aléatoire modifié ne génère que 262144 clés différentes, ce qui n'est pas assez.

Résultat: Toute machine Debian (et dérivées, dont Ubuntu) utilisant des clés SSH ou des certificats client pour la connexion (ssh, OpenVPN...) est pénétrable en 5 minutes.

Vous n'êtes vulnérable que si:
- vous êtes sous Debian
- vous utilisez OpenSSL ou un logiciel utilisant OpenSSL (ssh, OpenVPN...)
- et si vous utilisez des clés SSH ou des certificats (X.509) pour la connexion.

Ouch.

Il est conseillé de mettre à jour immédiatement OpenSSH sur vos serveurs, et de regénérer toutes les clés.
(Et là, y'a des admins qui vont grincer des dents: va falloir redistribuer toutes les nouvelles clés ssh/openvpn à tous les clients.)
(Notez que, par exemple, si vous utilisez ssh avec login/mot de passe au lieu des clés ssh, vous n'êtes pas vulnérable.)

Notez que la version patchée d'OpenSSL rejettera ces clés "faibles".


Source: Slashdot (et beaucoup d'autres).


C'est très moche, comme bug, et c'est passé inaperçu depuis 2006.

Pour le coup, hein, ils font preque plus fort que Microsoft !