Re: Faille Heartbleed d'Openssl
On 04/10/2014 03:25 AM, Charles Plessy wrote: Le Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios a écrit : La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. https://www.debian.org/security/faq#testing Q. : Comment est gérée la sécurité pour testing ? R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration. 1) Ce qui revient à dire que unstable est plus sûr que testing. C'est un scoop... 2) Le délai de 2 j pour la migration est difficilement compréhensible dans la mesure où ces correctifs de sécurité sont appliqués immédiatement et parallèlement dans stable. -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53466c3c.6080...@gmail.com
Re: Faille Heartbleed d'Openssl
Le 10/04/2014 12:02, maderios a écrit : On 04/10/2014 03:25 AM, Charles Plessy wrote: Le Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios a écrit : La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. https://www.debian.org/security/faq#testing Q. : Comment est gérée la sécurité pour testing ? R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration. 1) Ce qui revient à dire que unstable est plus sûr que testing. C'est un scoop... 2) Le délai de 2 j pour la migration est difficilement compréhensible dans la mesure où ces correctifs de sécurité sont appliqués immédiatement et parallèlement dans stable. Bonjour, depuis que je suis sous Debian (fin 90) il a toujours été dit qu'un délai de 2 jours minimum existait entre testing et unstable et que si déjà on veut une Debian avec les versions logiciels plus à jour, il valait mieux utiliser SID, ce que j'ai toujours fait. D'ailleurs, si délai il n'y avait pas, à quoi servirait testing (ou SID). Ce n'est donc pas un scoop. Si ce délai est un soucis, rien n'empêche d'installer la version de SID sans attendre que cette dernière soit descendue dans testing. -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53466e52.1030...@tootai.net
Re: Faille Heartbleed d'Openssl
On 04/10/2014 12:11 PM, daniel huhardeaux wrote: Le 10/04/2014 12:02, maderios a écrit : On 04/10/2014 03:25 AM, Charles Plessy wrote: Le Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios a écrit : La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. https://www.debian.org/security/faq#testing Q. : Comment est gérée la sécurité pour testing ? R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration. 1) Ce qui revient à dire que unstable est plus sûr que testing. C'est un scoop... 2) Le délai de 2 j pour la migration est difficilement compréhensible dans la mesure où ces correctifs de sécurité sont appliqués immédiatement et parallèlement dans stable. Bonjour, depuis que je suis sous Debian (fin 90) il a toujours été dit qu'un délai de 2 jours minimum existait entre testing et unstable et que si déjà on veut une Debian avec les versions logiciels plus à jour, il valait mieux utiliser SID, ce que j'ai toujours fait. D'ailleurs, si délai il n'y avait pas, à quoi servirait testing (ou SID). Ce n'est donc pas un scoop. Si ce délai est un soucis, rien n'empêche d'installer la version de SID sans attendre que cette dernière soit descendue dans testing. Salut Quand même, le scoop, c'est que dans ce qui importe le plus, la sécurité, Sid est plus fiable que testing. Je découvre cela après 14 ans d'utilisation Debian, il était temps :-) -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53468697.7010...@gmail.com
Re: Faille Heartbleed d'Openssl
On 2014-04-10 12:02:36 +0200, maderios wrote: R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration. 1) Ce qui revient à dire que unstable est plus sûr que testing. C'est un scoop... 2) Le délai de 2 j pour la migration est difficilement compréhensible dans la mesure où ces correctifs de sécurité sont appliqués immédiatement et parallèlement dans stable. Parfois il y a plus qu'un correctif de sécurité dans unstable: cela peut être une nouvelle version upstream. Pour supprimer ce délai dans des cas particuliers, il y a maintenant urgency=emergency. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140410121952.gc...@ypig.lip.ens-lyon.fr
Re: Faille Heartbleed d'Openssl
Salut Quand même, le scoop, c'est que dans ce qui importe le plus, la sécurité, Sid est plus fiable que testing. Je découvre cela après 14 ans d'utilisation Debian, il était temps :-) J'ai vu passer successivement (à quelques heures d'écarts) 2 versions des paquets ssl (dans wheezy et sid) ... C'est donc que la première version était incorrecte ou incomplète. Du coup testing n'aura eu que la seconde version (la bonne). Alors, tout ça dépend un peu du point de vue où on se place... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5346d075.1090...@teledetection.fr
Re: Faille Heartbleed d'Openssl
Le 10/04/2014 19:10, Guy Roussin a écrit : Salut Quand même, le scoop, c'est que dans ce qui importe le plus, la sécurité, Sid est plus fiable que testing. Je découvre cela après 14 ans d'utilisation Debian, il était temps :-) J'ai vu passer successivement (à quelques heures d'écarts) 2 versions des paquets ssl (dans wheezy et sid) ... C'est donc que la première version était incorrecte ou incomplète. Du coup testing n'aura eu que la seconde version (la bonne). Alors, tout ça dépend un peu du point de vue où on se place... De ce que j'ai vu la différence entre 1.0.1g-1 et 1.0.1g-2 c'est que l'upgrade en 1.0.1g-2 relance les services qui utilisent ssl (mais ça n'empêche pas de revérifier derrière). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5346d11a.3050...@rail.eu.org
Re: Faille Heartbleed d'Openssl
On 04/10/2014 07:10 PM, Guy Roussin wrote: Salut Quand même, le scoop, c'est que dans ce qui importe le plus, la sécurité, Sid est plus fiable que testing. Je découvre cela après 14 ans d'utilisation Debian, il était temps :-) J'ai vu passer successivement (à quelques heures d'écarts) 2 versions des paquets ssl (dans wheezy et sid) ... C'est donc que la première version était incorrecte ou incomplète. Du coup testing n'aura eu que la seconde version (la bonne). Non, en testing, j'ai eu les 2 maj en une journée. -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5346e732.9070...@gmail.com
Re: Faille Heartbleed d'Openssl
Salut Quand même, le scoop, c'est que dans ce qui importe le plus, la sécurité, Sid est plus fiable que testing. Je découvre cela après 14 ans d'utilisation Debian, il était temps :-) J'ai vu passer successivement (à quelques heures d'écarts) 2 versions des paquets ssl (dans wheezy et sid) ... C'est donc que la première version était incorrecte ou incomplète. Du coup testing n'aura eu que la seconde version (la bonne). Non, en testing, j'ai eu les 2 maj en une journée. Dans ce cas, il n'y a pas de délais des 2 jours !!! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53470981.8050...@teledetection.fr
Re: Faille Heartbleed d'Openssl
On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote a message of 52 lines which said: Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi... Problème classique avec testing : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, stable ou unstable. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409073953.gb14...@sources.org
Re: Faille Heartbleed d'Openssl
On Tue, Apr 08, 2014 at 11:01:25PM +0200, Stéphane GARGOLY stephane.garg...@gmail.com wrote a message of 42 lines which said: En consultant la page Next INpact (ex-PC INpact) Il vaut mieux consulter les DSA :-) Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060 La mise à jour est nécessaire mais pas suffisante. Il faut aussi : - invalider les sessions (la faille permet de lire les cookies) - changer les mots de passe (la faille permet de lire un htpasswd en mémoire) - et sans doute changer les clés TLS (pas uniquement re-signer les certificats), la faille pouvant permettre de lire les clés privées. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409073912.ga14...@sources.org
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 09:39:53AM CEST, Stephane Bortzmeyer steph...@sources.org said: On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote a message of 52 lines which said: Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi... Problème classique avec testing : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, stable ou unstable. Ou installer le paquet d'instable au moment de l'alerte (c'estce que j'ai fait). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409080853.gb12...@rail.eu.org
Re: Faille Heartbleed d'Openssl
On 08/04/2014 23:01, Stéphane GARGOLY wrote: Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent avec cet outil (OpenSSL) aussi important et sensible, il y a des années ? o:-) Je me rappelle d'un gros problème sur openssh il y a quelques années mais pour openssl je ne me rappelle pas. -- Francois Mescam Tel:+33 6 16 05 77 61 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/534504f9.6050...@mescam.org
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 10:29:45AM +0200, Francois Mescam franc...@mescam.org wrote a message of 19 lines which said: pour openssl je ne me rappelle pas. :-D http://www.debian.org/security/2008/dsa-1571 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409085549.ga22...@sources.org
Re: Faille Heartbleed d'Openssl
Le 04/09/2014 10:55 AM, Stephane Bortzmeyer a écrit : On Wed, Apr 09, 2014 at 10:29:45AM +0200, Francois Mescam franc...@mescam.org wrote a message of 19 lines which said: pour openssl je ne me rappelle pas. :-D http://www.debian.org/security/2008/dsa-1571 Openssh se base sur OpenSSL :-D -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5345192b.2060...@gmail.com
Re: Faille Heartbleed d'Openssl
On 2014-04-08 23:01:25 +0200, Stéphane GARGOLY wrote: En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. [...] Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et Unstable/Sid) ne semblent pas être concernées par ce problème. unstable était aussi concerné (il y a eu une mise à jour 1.0.1g-1 hier corrigeant le bug, et une autre 1.0.1g-2 aujourd'hui pour redémarrer les services automatiquement). On 2014-04-09 09:39:12 +0200, Stephane Bortzmeyer wrote: La mise à jour est nécessaire mais pas suffisante. Il faut aussi : - invalider les sessions (la faille permet de lire les cookies) - changer les mots de passe (la faille permet de lire un htpasswd en mémoire) - et sans doute changer les clés TLS (pas uniquement re-signer les certificats), la faille pouvant permettre de lire les clés privées. et s'assurer que les anciens certificats sont révoqués; avec Gandi, cela sera automatique, mais ce n'est pas encore fait: https://twitter.com/gandibar/status/453658107055718400 Je pense que pour tester la révocation, on peut faire: openssl s_server -key old-private.key -cert old-cert.crt -www sur le serveur, et ouvrir avec un navigateur web: https://server_hostname:4433/ -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409143746.ga22...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
On 04/09/2014 09:39 AM, Stephane Bortzmeyer wrote: On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote a message of 52 lines which said: Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi... Problème classique avec testing : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, stable ou unstable. Bonjour La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. Il semble que les corrections de sécurité soient traitées comme de simples bugs chez Debian, ce n'est pas admissible. Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53455fbe.7040...@gmail.com
Re: Faille Heartbleed d'Openssl
On Tuesday 08 April 2014 23:01:25 Stéphane GARGOLY wrote: Bonjour à tous les utilisateurs et développeurs de Debian : En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit e-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. Bonjour, Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Merci. André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201404091744.39620.andre_deb...@numericable.fr
Re: Faille Heartbleed d'Openssl
Salut, Si tu es abonné à la liste debian security tu peux avoir ta réponse : Actually OpenSSH uses OpenSSL, it just does not use TLS for transport. OpenSSL comprises two libraries: libcrypto[1] and libssl, providing generic crypto facilities and transport security respectively. The affected functions (dtls1_process_heartbeat() and tls1_process_heartbeat()) reside in libssl. Software linking only against libcrypto.so.1.0.0[2] (which includes openssh, bind9, slapd - which uses GnuTLS for transport security by the way) should not be vulnerable, despite depending on libssl1.0.0. Le 04/09/2014 05:44 PM, andre_deb...@numericable.fr a écrit : On Tuesday 08 April 2014 23:01:25 Stéphane GARGOLY wrote: Bonjour à tous les utilisateurs et développeurs de Debian : En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit e-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. Bonjour, Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Merci. André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53456bf3.2090...@gmail.com
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409153225.gz23...@rutschle.net
RE: Faille Heartbleed d'Openssl
Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Valentin OVD Date: Wed, 9 Apr 2014 17:32:25 +0200 From: debian.anti-s...@rutschle.net To: debian-user-french@lists.debian.org Subject: Re: Faille Heartbleed d'Openssl On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409153225.gz23...@rutschle.net
Re: Faille Heartbleed d'Openssl
On 2014-04-09 17:44:39 +0200, andre_deb...@numericable.fr wrote: Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Je dirais que normalement non. Mais si la clé privée ou le mot de passe a été transmis par https (genre données stockées à distance), il faut le changer. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409163630.ga27...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
On Wednesday 09 April 2014 18:36:30 Vincent Lefevre wrote: On 2014-04-09 17:44:39 +0200, andre_deb...@numericable.fr wrote: Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Je dirais que normalement non. Mais si la clé privée ou le mot de passe a été transmis par https (genre données stockées à distance), il faut le changer. Merci. Pour un serveur Web Apache en accès https : globalement, faut-il modifier les certificats ? (même si aucune clé n'a été transmis par https). Il y a des accès par mot de passe sur le site ? Et sous Postfix, plus particulièrment dovecot qui a un certificat ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201404091856.43246.andre_deb...@numericable.fr
Re: Faille Heartbleed d'Openssl
Bonsoir André, -- Guillaume Evain Ingénieur et Architecte Réseaux Mbl.: 06.21.53.56.81 ev...@alteys.fr www.evain.info -- Tous les messages expédiés par ev...@alteys.fr sont signés numériquement Le 9 avr. 2014 à 18:56, andre_deb...@numericable.fr a écrit : On Wednesday 09 April 2014 18:36:30 Vincent Lefevre wrote: On 2014-04-09 17:44:39 +0200, andre_deb...@numericable.fr wrote: Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Je dirais que normalement non. Mais si la clé privée ou le mot de passe a été transmis par https (genre données stockées à distance), il faut le changer. Merci. Pour un serveur Web Apache en accès https : globalement, faut-il modifier les certificats ? (même si aucune clé n'a été transmis par https). Il y a des accès par mot de passe sur le site ? Et sous Postfix, plus particulièrment dovecot qui a un certificat ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201404091856.43246.andre_deb...@numericable.fr En cas de doute d’exploitation de la faille, oui il faut mieux régénérer les clefs après mise à jour. Bonne soirée smime.p7s Description: S/MIME cryptographic signature
Re: Faille Heartbleed d'Openssl
On 04/09/2014 05:53 PM, valentin OVD wrote: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Valentin OVD Date: Wed, 9 Apr 2014 17:32:25 +0200 From: debian.anti-s...@rutschle.net To: debian-user-french@lists.debian.org Subject: Re: Faille Heartbleed d'Openssl On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. Sid est mieux servi ! S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. 2° mise a jour de openssl aujourd'hui pour testing/jessie... -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53457e40.8010...@gmail.com
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 05:53:41PM +0200, valentin OVD wrote: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Ok, OTAN pour moi (je n'utilise pas testing... pour des raisons de sécurité, entre autres). Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409171255.ga23...@rutschle.net
Re: Faille Heartbleed d'Openssl
ça dépend surtout du degré de criticité de la correction et non du type de paquet. Il y a 4 niveaux : low, medium, high, emergency qui correspondent il me semble à 10, 5, 2 et 0 jours avant passage dans testing. Pour openssl c'était emergency. La version 1.0.1g-2 est arrivée hier dans sid et est passé directement dans testing donc dispo aujourd'hui. Gaëtan Le Wed, 9 Apr 2014 17:53:41 +0200 valentin OVD valentin@live.fr a écrit: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Valentin OVD Date: Wed, 9 Apr 2014 17:32:25 +0200 From: debian.anti-s...@rutschle.net To: debian-user-french@lists.debian.org Subject: Re: Faille Heartbleed d'Openssl On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409153225.gz23...@rutschle.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409195804.4be685ae8c7a3e2e5bbbe...@neuf.fr
Re: Faille Heartbleed d'Openssl
On 2014-04-09 18:56:43 +0200, andre_deb...@numericable.fr wrote: Pour un serveur Web Apache en accès https : globalement, faut-il modifier les certificats ? (même si aucune clé n'a été transmis par https). Oui. Mais un pirate pourra toujours utiliser les anciennes clés, tant que tout le système de révocation n'aura pas été corrigé. Voilà ce que j'ai appris tout à l'heure suite à un rapport de bug: https://news.ycombinator.com/item?id=7556909 Et sous Postfix, plus particulièrment dovecot qui a un certificat ? Probablement. Le site heartbleed.com dit: heartbeat request can be sent and is replied to during the handshake phase of the protocol. Bref, même si le serveur POP3/IMAP a un seul utilisateur, n'importe qui peut exploiter le bug. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409211559.ga4...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
On 2014-04-09 19:07:12 +0200, maderios wrote: On 04/09/2014 05:53 PM, valentin OVD wrote: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Peut-être même le plus tôt possible pour emergency. 2° mise a jour de openssl aujourd'hui pour testing/jessie... Pour unstable, qui est immédiatement passé dans testing à cause du emergency (la précédente n'était qu'en high). Cf le changelog: openssl (1.0.1g-2) unstable; urgency=emergency * Enable checking for services that may need to be restarted (Closes: #743889) * Update list of services to possibly restart -- Kurt Roeckx k...@roeckx.be Tue, 08 Apr 2014 19:13:08 +0200 openssl (1.0.1g-1) unstable; urgency=high * New upstream release - Fixes CVE-2014-0160 - Fixes CVE-2014-0076 - Drop patches applied upstream -- Kurt Roeckx k...@roeckx.be Mon, 07 Apr 2014 23:17:42 +0200 -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409212022.gb4...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
Le Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios a écrit : La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. https://www.debian.org/security/faq#testing Q. : Comment est gérée la sécurité pour testing ? R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration, et les correctifs de sécurité peuvent parfois être retenus par les transitions. L’équipe chargée de la sécurité aide à faire avancer ces transitions qui retiennent les envois de sécurité importants, mais ce n’est pas toujours possible et des contretemps peuvent survenir. En particulier, les mois qui suivent une nouvelle publication de stable, quand de nombreuses nouvelles versions sont envoyées dans unstable, les correctifs de sécurité pourraient être mis en attente. Si vous souhaitez un serveur sûr (et stable), vous devriez garder la distribution stable. Bonne journée, -- Charles Plessy Tsurumi, Kanagawa, Japan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140410012524.ga2...@falafel.plessy.net
Re: Faille Heartbleed d'Openssl
Je suis sous Jessie et je suis concerné par la faille de sécurité , ayant la version 1.0.1f d'OpenSSL. Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi...j'ai demandé à droite à gauche et on m'a dit qu'il fallait pour l'instant chercher l'update dans les dépôts de Sid. J'ai essayé , ça a pas marché ... je vais donc attendre... -- RHATAY Sami IUT Vannes - INFO1 signature.asc Description: OpenPGP digital signature
Re: Faille Heartbleed d'Openssl
On Tue, 8 Apr 2014 23:01:25 +0200 Stéphane GARGOLY stephane.garg...@gmail.com wrote: Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent avec cet outil (OpenSSL) aussi important et sensible, il y a des années ? o:-) Et tu t'attendais à QUOI, venant d'une organisation US?? à des Bisounours sans aucune faille décelable?? -- OpenSebou tfaçons chez moi y'a tout qui est libre :D OpenSebou Mon OS est libre OpenSebou mes drivers sont libres OpenSebou mes applis sont libres Serialtueur Ta copine est libre OpenSebou connard -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140408231430.3f715947@anubis.defcon1
Re: Faille Heartbleed d'Openssl
Bonjour, Le 08/04/2014 23:01, Stéphane GARGOLY a écrit : Bonjour à tous les utilisateurs et développeurs de Debian : En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. D'ailleurs, l'outil 'Aptitude' m'a averti qu'il y a une mise à jour de sécurité déjà prête pour les paquets 'openssl' et 'libssl1.0.0'. Je compte, bien sûr, appliquer cette mise à jour immédiatement (et j'en profite de l'occasion pour installer le client IRC 'konservation' pour KDE). Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et Unstable/Sid) ne semblent pas être concernées par ce problème. Pour ceux qui veulent savoir à propos du paquet 'openssl', je vous donne la page du résultat de recherche (toutes versions confondues) : https://packages.debian.org/search?keywords=opensslsearchon=namessuite=allsection=all L'équipe de sécurité a publié dans la nuit un bulletin d'alerte de sécurité que je vous invite à consulter (comme toutes les autres alertes de sécurité, d'ailleurs). Voici le lien https://www.debian.org/security/2014/dsa-2896 Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent avec cet outil (OpenSSL) aussi important et sensible, il y a des années ? o:-) Cordialement et à bientôt, Stéphane. Bien cordialement jipege -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5344656c.6000...@neuf.fr
