Faille OpenSSL/Debian
13st May 2008 22:00
En réponse à la faille critique DSA-1571 parue aujourd'hui :
Voici un résumé rapide de certaines opérations urgentes à effectuer ( liste non exhaustive ).
Pour plus d'informations vous pouvez consulter la page dédiée sur wiki.debian.org.
Mettre à jour le système
aptitude update && aptitude upgrade
Regénerer la clé du serveur OpenSSH
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -N '' -t rsa
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -N '' -t dsa
/etc/init.d/ssh restart
Regénerer vos propres clés
A faire sur un système à jour bien sur.
Supprimer les clés utilisateurs impactées
Un script fourni par Debian permet de les détecter : http://security.debian.org/project/extra/dowkd.
Attention l'auteur signale que celui-ci peut donner des faux positifs ou des faux négatifs.
Ensuite vous pouvez lancer par exemple :
for i in /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys; do perl ./dowkd.pl file $i; done
Regénerer vos certificats SSL
Pour votre serveur mail, web, VPN,...