Sébastien NOBILI, vendredi 21 novembre 2008, 13:59:07 CET > > Le jeudi 20 novembre 08 à 10:26, David Prévot a écrit : > > Bonjour,
’jour, > | Je ne suis pas expert en sécurité, j'ai posté ma recette sur > la liste | autant pour la valider qu'en discuter... > > Apparemment la recette a été validée sur le rapport de bogue : > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506115#22 Je ne dirais pas que ce n’était pas un problème, m’enfin quand on lit : « an attack that can recover 14 bits of plaintext with a success probability of 2^-14, though we suspect this underestimates the work required by a practical attack. » (traduction rapide : « une attaque qui peut découvrir 14 bits de texte avec une probabilité de succès de 2⁻¹⁴, bien que nous suspections que cela sous-estimes le travail requis pour une attaque réelle. ») donc : — seulement 14 bits de données en clair, même pas 2 octets ; — une proba de 2⁻¹⁴, soit une chance sur 16384 ; — proba en théorie, une procédure d’attaque réelle serait encore plus difficile ; on se dit que ce n’est pas super-grave quand même, surtout qu’ajouter (oui, je le remets, ça enfonce le clou :o) Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc dans son /etc/ssh/sshd_config suffit à éviter le risque. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]