Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Wednesday 23 April 2014 20:06:47 Guillaume Tournat wrote: Le 23 avr. 2014 à 15:58, technicien hahd technic...@hahd.fr a écrit : On Wednesday 23 April 2014 09:14:42 Simon Perreault wrote: Le 2014-04-23 09:11, Jérémie Bouillon a écrit : Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait pas l'effet escompté par ces braves gens. Au contraire, ça marche parfaitement, comme ton expérience en témoigne. Simon Exactement! Je n'avais jamais fait de donation à openBSD (honte sur moi qui utilise openSSH quotidiennement) jusqu'à aujourd'hui, mais voir tous ces gens avec un balai rangé dans cet endroit où la lumière ne va pas qui se plaignent du choix de la police de caractères sans se rendre que compte que c'est fait exprès pour les ennuyer et les amener à s'auto identifier comme porteurs de balai et ce avec un hack tout simple, ça m'a fait franchir le pas. Et pourtant je ne suis pas concerné car dans mes navigateurs cette page s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de microsoft. Il faut croire qu'ils savent cibler leurs victimes et divertir leur population cible tout en travaillant sérieusement à améliorer la sécurité de tous. Je n'ai de balai nul part. J'indiquais juste que la police est ignoble à lire. Et ces polices type Comic sans ms sont encore utilisées très sérieusement , y compris en entreprise. Maintenant, il est vrai que depuis mon smart phone à la pomme, en 3 secondes avec safari, je n'ai pas pu regarder le code source, ni utiliser d'inspecteur dom et encore moins charger une quelconque extension. Donc si le rendu était intentionnel, ça a très bien fonctionne. Mon histoire de balai ne t'était pas destinée personnellement, toutes mes excuses si itu l'as pris pour toi, c'est vrai que formulé comme je l'ai dit et sans préciser le contexte ça prétait à confusion. J'avais déjà rempli mon chèque avant de lire ton message et je faisais référence globalement à tous les commentaires que j'ai pu voir sur les sites qui rapportent l'info, de hacker news à linuxfr. Comic Sans est une police qui polarise fort les opinions, c'est bien connu mais les réactions engendrée sont disproportionnée par rapport à la gravité du problème, ça prends moins de temps de la désactiver ou de la supprimer que d'écrire un message pour s'en plaindre sur internet. En tout cas sur moi ça a marché et ça leur a rapporté 20$ --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire, j'ai décroché direct. Le 23 avr. 2014 à 04:30, Jérémie Bouillon m...@dorem.info a écrit : Le 22/04/2014 10:36, technicien hahd a écrit : [2]: http://www.libressl.org/ Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On 2014-04-23 09:42, Guillaume Tournat wrote: C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire, j'ai décroché direct. C'est au moins aussi ignoble que quelqu'un qui tourne sous un OS ignoble ou qui a eu l'ignoble idée d'installer une police ignoble. Vas lire la dernière ligne --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Tu peux utiliser l'extension Stylish pour Firefox et faire un script de ce genre : @namespace url(http://www.w3.org/1999/xhtml); @-moz-document domain(libressl.org) { html * { font-family: Arial !important; } } -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Tournat Envoyé : mercredi 23 avril 2014 09:43 À : frnog-t...@frnog.org Objet : [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire, j'ai décroché direct. Le 23 avr. 2014 à 04:30, Jérémie Bouillon m...@dorem.info a écrit : Le 22/04/2014 10:36, technicien hahd a écrit : [2]: http://www.libressl.org/ Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ _ Ce message et ses pieces jointes peuvent contenir des informations confidentielles ou privilegiees et ne doivent donc pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce message par erreur, veuillez le signaler a l'expediteur et le detruire ainsi que les pieces jointes. Les messages electroniques etant susceptibles d'alteration, Orange decline toute responsabilite si ce message a ete altere, deforme ou falsifie. Merci. This message and its attachments may contain confidential or privileged information that may be protected by law; they should not be distributed, used or copied without authorisation. If you have received this email in error, please notify the sender and delete this message and its attachments. As emails may be altered, Orange is not liable for messages that have been modified, changed or falsified. Thank you. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Wednesday 23 April 2014 09:42:53 Guillaume Tournat wrote: C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire, j'ai décroché direct. Une fonctionnalité méconnue des navigateurs web te permets de changer/désactiver n'importe quel élément de style des pages web que tu visites en 1 à 3 clics. http://www.opera.com/docs/usercss/ https://developer.mozilla.org/fr/docs/Outils/inspecteur --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 23/04/2014 11:50, technicien hahd a écrit : Une fonctionnalité méconnue des navigateurs web te permets de changer/désactiver n'importe quel élément de style des pages web que tu visites en 1 à 3 clics. Une autre fonctionnalité obscure a le même effet, plus rapidement : fermer l'onglet. Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait pas l'effet escompté par ces braves gens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 2014-04-23 09:11, Jérémie Bouillon a écrit : Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait pas l'effet escompté par ces braves gens. Au contraire, ça marche parfaitement, comme ton expérience en témoigne. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Wednesday 23 April 2014 09:14:42 Simon Perreault wrote: Le 2014-04-23 09:11, Jérémie Bouillon a écrit : Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait pas l'effet escompté par ces braves gens. Au contraire, ça marche parfaitement, comme ton expérience en témoigne. Simon Exactement! Je n'avais jamais fait de donation à openBSD (honte sur moi qui utilise openSSH quotidiennement) jusqu'à aujourd'hui, mais voir tous ces gens avec un balai rangé dans cet endroit où la lumière ne va pas qui se plaignent du choix de la police de caractères sans se rendre que compte que c'est fait exprès pour les ennuyer et les amener à s'auto identifier comme porteurs de balai et ce avec un hack tout simple, ça m'a fait franchir le pas. Et pourtant je ne suis pas concerné car dans mes navigateurs cette page s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de microsoft. Il faut croire qu'ils savent cibler leurs victimes et divertir leur population cible tout en travaillant sérieusement à améliorer la sécurité de tous. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 23/04/2014 15:58, technicien hahd a écrit : Et pourtant je ne suis pas concerné car dans mes navigateurs cette page s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de microsoft. Exactement. À travailler sous un GNU, on n'oublie que Comic existe, puisqu'elle n'est pas installée :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Je n'ai de balai nul part. J'indiquais juste que la police est ignoble à lire. Et ces polices type Comic sans ms sont encore utilisées très sérieusement , y compris en entreprise. Maintenant, il est vrai que depuis mon smart phone à la pomme, en 3 secondes avec safari, je n'ai pas pu regarder le code source, ni utiliser d'inspecteur dom et encore moins charger une quelconque extension. Donc si le rendu était intentionnel, ça a très bien fonctionne. Le 23 avr. 2014 à 15:58, technicien hahd technic...@hahd.fr a écrit : On Wednesday 23 April 2014 09:14:42 Simon Perreault wrote: Le 2014-04-23 09:11, Jérémie Bouillon a écrit : Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait pas l'effet escompté par ces braves gens. Au contraire, ça marche parfaitement, comme ton expérience en témoigne. Simon Exactement! Je n'avais jamais fait de donation à openBSD (honte sur moi qui utilise openSSH quotidiennement) jusqu'à aujourd'hui, mais voir tous ces gens avec un balai rangé dans cet endroit où la lumière ne va pas qui se plaignent du choix de la police de caractères sans se rendre que compte que c'est fait exprès pour les ennuyer et les amener à s'auto identifier comme porteurs de balai et ce avec un hack tout simple, ça m'a fait franchir le pas. Et pourtant je ne suis pas concerné car dans mes navigateurs cette page s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de microsoft. Il faut croire qu'ils savent cibler leurs victimes et divertir leur population cible tout en travaillant sérieusement à améliorer la sécurité de tous. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Monday 14 April 2014 09:26:36 Simon Perreault wrote: Le 2014-04-12 10:42, Jean-Yves Faye a écrit : La faille dont il parle, c'est probablement un truc vague du genre : OpenSSH sur un OS avec SMP est troué de toute façon ou Le seul BSD qui permet de faire de la sécu c'est OpenBSD. Donc si vous croyez Theo de Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD avec OpenBGPD, c'est fait pour. Oui. Ou plus généralement: tout OS qui n'est pas OpenBSD est troué. Selon le point de vue, ça peut même être considéré comme vrai. Mais en pratique, faut gérer le risque, et troué n'est pas blanc ou noir mais bien un continuum. Bref, oui, probablement qu'OpenSSH est plus sécuritaire sur OpenBSD qu'ailleurs, mais ça ne m'empêchera pas de dormir la nuit. Simon Et pendant ce temps là, chez openBSD ils se sont lancés dans un grand nettoyage de printemps d'openSSL[2] qui a débouché sur un fork: libressl[1] [1]: http://opensslrampage.org/ [2]: http://www.libressl.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Ce n est pas le seul projet utilisé par tous, maintenu par une poignée et horriblement codé... -- Sent from my Android device with K-9 Mail. Please excuse my brevity. On April 22, 2014 11:10:47 AM CEST, Manu m...@formidable-inc.net wrote: Le 22/04/2014 10:36, technicien hahd a écrit : Et pendant ce temps là, chez openBSD ils se sont lancés dans un grand nettoyage de printemps d'openSSL[2] qui a débouché sur un fork: libressl[1] [1]:http://opensslrampage.org/ [2]:http://www.libressl.org/ et je cite les raisons : This is about realizing belatedly that code we thought of good quality was not even decent, and ended up becoming too complex and unmaintainable. So now we are hurrying to remove everything in the way of exposing the concrete guts of the code, fixing the bad practices inherited from the way we were doing security 15+ years ago, and making sure we do not break basic functionality in the process. M --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 22/04/2014 10:36, technicien hahd a écrit : [2]: http://www.libressl.org/ Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 23/04/2014 04:30, Jérémie Bouillon a écrit : Le 22/04/2014 10:36, technicien hahd a écrit : [2]: http://www.libressl.org/ Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^ quote This page scientifically designed to annoy web hipsters. Donate now http://www.openbsdfoundation.org/donations.html to stop the Comic Sans and Blink Tags /quote :-) mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 2014-04-12 10:42, Jean-Yves Faye a écrit : La faille dont il parle, c'est probablement un truc vague du genre : OpenSSH sur un OS avec SMP est troué de toute façon ou Le seul BSD qui permet de faire de la sécu c'est OpenBSD. Donc si vous croyez Theo de Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD avec OpenBGPD, c'est fait pour. Oui. Ou plus généralement: tout OS qui n'est pas OpenBSD est troué. Selon le point de vue, ça peut même être considéré comme vrai. Mais en pratique, faut gérer le risque, et troué n'est pas blanc ou noir mais bien un continuum. Bref, oui, probablement qu'OpenSSH est plus sécuritaire sur OpenBSD qu'ailleurs, mais ça ne m'empêchera pas de dormir la nuit. Simon -- DTN made easy, lean, and smart -- http://postellation.viagenie.ca NAT64/DNS64 open-source-- http://ecdysis.viagenie.ca STUN/TURN server -- http://numb.viagenie.ca --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
La faille dont il parle, c'est probablement un truc vague du genre : OpenSSH sur un OS avec SMP est troué de toute façon ou Le seul BSD qui permet de faire de la sécu c'est OpenBSD. Donc si vous croyez Theo de Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD avec OpenBGPD, c'est fait pour. Blague à part, l'argument d'autorité n'existe pas en science. Donc que ce soit de Raadt, Torvalds ou Gates qui dise x est troué, ça ne change rien. Jean-Yves Le 11 avril 2014 15:48, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 15:19:37 you wrote: Le Fri, 11 Apr 2014 15:00:59 +0200, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Il a tout de même un long passé de gros troll. Et dans le cas présent : - Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés parce que c'est des gros vilains et que nananère, c'est un gros con. - Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion. Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS concurrent pour des raisons purement personnelles, soit il fait du FUD. En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement. (je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de projets qui n'impliquent pas que lui). Ça fait plus de 10 ans que troll est plus souvent utilisé pour dire quelqu'un qui dit ou fait quelque chose que je n'aime pas.[1] Il suffirait de dire que quelqu'un est un troll pour invalider son propos ? Personnellement je m'en fous complètement que Théo de Raadt soit un con et qu'il ait un passé de troll, ce qui m'intéresse c'est de savoir si mes équipements juniper viennent avec une faille openSSH et sa gravité. [1] extrait de http://xahlee.info/UnixResource_dir/writ/troll_ignorance.html « The word trolling has somewhat specific meaning in the beginning. According to the Jargon File, it originally means the act of message posting that ensures fire, knowingly or not. Today, the word troll is both verb and noun, and is applied loosely to any outsider. If you don't like someone's manner, he is a troll. If you don't like a gadfly, he is a troll. If you don't like a philosopher, he is a troll. If you don't like a inquirer, he is a troll. If you don't like a humorist, he is a troll. If you don't like a teacher, he is a troll. If you don't like witches, they are, well, witches and must be witch- hunted. Thusly, from weirdo to witch, from teacher to philosopher, from gadfly to firebrand, from loner to gay, they are all trolls online at your call. Quick spun the guild of killfilers and troll-criers. Anyone who has contrariwise things to say or the manner of saying it is a troll.» --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Saturday 12 April 2014 16:42:09 Jean-Yves Faye wrote: La faille dont il parle, c'est probablement un truc vague du genre : OpenSSH sur un OS avec SMP est troué de toute façon ou Le seul BSD qui permet de faire de la sécu c'est OpenBSD. Donc si vous croyez Theo de Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD avec OpenBGPD, c'est fait pour. Blague à part, l'argument d'autorité n'existe pas en science. Donc que ce soit de Raadt, Torvalds ou Gates qui dise x est troué, ça ne change rien. Jean-Yves Merci pour ta réponse. À la lecture de son message j'ai supposé que la faille est réelle mais de l'ordre d'une implémentation qui n'est pas conforme à l'approche sécurité avant tout portée par openBSD et pas de la gravité du heartbleed. Mais faire reposer sa sécurité sur des suppositions et des hypothèses c'est une approche qui appelle à la catastrophe, je préfère demander si quelqu'un sait quelque chose là dessus. Et je n'accepte pas l'écoute pas c'est un troll comme un argument recevable pour ce qui concerne la sécurité. Marrant de constater que les discussions en rapport avec de Raadt ont tendance, comme avec Stallman, a dériver sur le personnage au lieu de traiter du sujet discuté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Chez Antidot avec 300+ serveurs et du Juniper (mais pas d Cisco) dans le réseau on est passé au travers : aucun matos vulnérable... mais rien que la vérification a mobilisé un peu de monde. -- Pierre Message du : 11/04/2014 09:12 De : Stephane Bortzmeyer bortzme...@nic.fr A : Arthur Fernandez - Liazo arthur.fernan...@liazo.fr Copie à : frnog-al...@frnog.org Sujet : [FRnOG] Re: [ALERT] Nouvelle faille openssl On Tue, Apr 08, 2014 at 09:56:41PM +0200, Stephane Bortzmeyer wrote a message of 13 lines which said: Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... La liste officielle de Juniper. Pas mal de produits touchés : http://kb.juniper.net/InfoCenter/index?page=contentid=JSA10623 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL Heartbleed issue (CVE-2014-0160) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Cet échange devient de plus en plus constructif, dites donc... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le Fri, 11 Apr 2014 15:00:59 +0200, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Il a tout de même un long passé de gros troll. Et dans le cas présent : - Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés parce que c'est des gros vilains et que nananère, c'est un gros con. - Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion. Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS concurrent pour des raisons purement personnelles, soit il fait du FUD. En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement. (je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de projets qui n'impliquent pas que lui). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
+1 °°° Franck Leroy Telemaque - SOPHIA ANTIPOLIS Les Espaces de Sophia - Bat E 80 Route des Lucioles 06560 Valbonne Tel : +33 4 92 90 99 86 Fax : +33 4 92 90 91 42 f...@telemaque.fr °°° Le 11/04/2014 15:14, Florian Stosse a écrit : Cet échange devient de plus en plus constructif, dites donc... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Friday 11 April 2014 15:07:03 Stephane Bortzmeyer wrote: On Fri, Apr 11, 2014 at 03:00:59PM +0200, technicien hahd technic...@hahd.fr wrote a message of 28 lines which said: Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Ah, ah, ah. Quelque chose d'un peu plus constructif serait bienvenue pour ceux qui ne suivent pas de près ce qui se passe chez openssh. Que Theo de Raadt ait de fortes opinions et s'exprime fort ne suffit pas à faire du fondateur et leader d'openBSD et openSSH un incompétent qui dit n'importe quoi dès que l'occcasion se présente. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
On Friday 11 April 2014 15:19:37 you wrote: Le Fri, 11 Apr 2014 15:00:59 +0200, technicien hahd technic...@hahd.fr a écrit : On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote: On Thu, Apr 10, 2014 at 01:09:46PM +0200, Bertrand Yvain p...@ielo.net wrote a message of 12 lines which said: Même chez Juniper ? https://www.mail-archive.com/tech%40openbsd.org/msg17420.html Gross troll par un gros trolleur connu. On est vendredi, on l'excusera. Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ? Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la sécurité. Il a tout de même un long passé de gros troll. Et dans le cas présent : - Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés parce que c'est des gros vilains et que nananère, c'est un gros con. - Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion. Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS concurrent pour des raisons purement personnelles, soit il fait du FUD. En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement. (je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de projets qui n'impliquent pas que lui). Ça fait plus de 10 ans que troll est plus souvent utilisé pour dire quelqu'un qui dit ou fait quelque chose que je n'aime pas.[1] Il suffirait de dire que quelqu'un est un troll pour invalider son propos ? Personnellement je m'en fous complètement que Théo de Raadt soit un con et qu'il ait un passé de troll, ce qui m'intéresse c'est de savoir si mes équipements juniper viennent avec une faille openSSH et sa gravité. [1] extrait de http://xahlee.info/UnixResource_dir/writ/troll_ignorance.html « The word trolling has somewhat specific meaning in the beginning. According to the Jargon File, it originally means the act of message posting that ensures fire, knowingly or not. Today, the word troll is both verb and noun, and is applied loosely to any outsider. If you don't like someone's manner, he is a troll. If you don't like a gadfly, he is a troll. If you don't like a philosopher, he is a troll. If you don't like a inquirer, he is a troll. If you don't like a humorist, he is a troll. If you don't like a teacher, he is a troll. If you don't like witches, they are, well, witches and must be witch- hunted. Thusly, from weirdo to witch, from teacher to philosopher, from gadfly to firebrand, from loner to gay, they are all trolls online at your call. Quick spun the guild of killfilers and troll-criers. Anyone who has contrariwise things to say or the manner of saying it is a troll.» --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
❦ 10 avril 2014 02:01 CEST, Gael Martinez gael.marti...@gmail.com : Des fois, une librairie est statique ... mgc@infra:~$ strings /usr/sbin/sshd | grep -i ssl SSLeay OPENSSL_config OPENSSL_add_all_algorithms_noconf SSLeay_version OPENSSL_1.0.0 OpenSSL version mismatch. Built against %lx, you have %lx $ uname -a Linux infra 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux Il y a utilisation de la libcrypto (qui est OpenSSL), mais pas de la libssl (qui est TLS et qui contient la faille). -- printk(What? oldfid != cii-c_fid. Call 911.\n); 2.4.3 linux/fs/coda/cnode.c --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Bonjour, Oui le script nmap fonctionne avec l'ensemble des services utilisant une couche SSL/TLS: maps (993), smtps (465) , ldaps (636) (et tout autre service SSL/TLS) exemple : nmap -p 443,993,465,636 --script ssl-heartbleed.nse 192.168.1.0/24 ;) ++ Nicolas Le 9 avril 2014 23:33, Jehan Procaccia jehan.procac...@it-sudparis.eu a écrit : Bonsoir, le script nmap fonctionne tres bien et est tres efficace pour scanner en masse , merci , maintenant je m'interroge sur sa capacité a tester d'autres services ssl/tls que https/443 ? serait-il capable de trouver une vulnérabilité dans openssh (22) imaps (993), smtps (465) , ldaps (636) ? des scan 443 ont révélés la faille sur des serveurs non encore updatés, mais sur les ports 22,993,465 et 636 je n'ai encore rien trouvé sur de tels serveurs. soit le script n'est pas adapté, soit ces autres services utilisent une autre librairie ? Jehan . Le 09/04/2014 17:02, Nicolas GOLLET a écrit : Bonjour à tous, pour scanner rapidement si vous avez des équipements/serveurs vulnérable il existe un script nmap pour ça sur leur svn :) https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse exemple : nmap -p 443 --script ssl-heartbleed.nse 192.168.1.0/24 Un service en ligne a aussi ouvert : http://filippo.io/Heartbleed/ (source dispo en python sur github) Nicolas 2014-04-09 16:52 GMT+02:00 Stephane Bortzmeyer bortzme...@nic.fr: On Tue, Apr 08, 2014 at 09:56:41PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 13 lines which said: Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... Pour Cisco : http://blogs.cisco.com/security/openssl-heartbleed- vulnerability-cve-2014-0160-cisco-products-and-mitigations/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Et n'oublié pas les Secure Acces game SA en CO... largement deployés... SBU - Original Message - From: Stephane Bortzmeyer bortzme...@nic.fr To: Arthur Fernandez - Liazo arthur.fernan...@liazo.fr Cc: frnog-al...@frnog.org Sent: Tuesday, April 08, 2014 9:56 PM Subject: [FRnOG] Re: [ALERT] Nouvelle faille openssl On Tue, Apr 08, 2014 at 12:12:53AM +0200, Arthur Fernandez - Liazo arthur.fernan...@liazo.fr wrote a message of 20 lines which said: il semblerait qu'une faille inquiétante vient d'être découverte dans openssl... Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Bonjour à tous, pour scanner rapidement si vous avez des équipements/serveurs vulnérable il existe un script nmap pour ça sur leur svn :) https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse exemple : nmap -p 443 --script ssl-heartbleed.nse 192.168.1.0/24 Un service en ligne a aussi ouvert : http://filippo.io/Heartbleed/ (source dispo en python sur github) Nicolas 2014-04-09 16:52 GMT+02:00 Stephane Bortzmeyer bortzme...@nic.fr: On Tue, Apr 08, 2014 at 09:56:41PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 13 lines which said: Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... Pour Cisco : http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Bonsoir, le script nmap fonctionne tres bien et est tres efficace pour scanner en masse , merci , maintenant je m'interroge sur sa capacité a tester d'autres services ssl/tls que https/443 ? serait-il capable de trouver une vulnérabilité dans openssh (22) imaps (993), smtps (465) , ldaps (636) ? des scan 443 ont révélés la faille sur des serveurs non encore updatés, mais sur les ports 22,993,465 et 636 je n'ai encore rien trouvé sur de tels serveurs. soit le script n'est pas adapté, soit ces autres services utilisent une autre librairie ? Jehan . Le 09/04/2014 17:02, Nicolas GOLLET a écrit : Bonjour à tous, pour scanner rapidement si vous avez des équipements/serveurs vulnérable il existe un script nmap pour ça sur leur svn :) https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse exemple : nmap -p 443 --script ssl-heartbleed.nse 192.168.1.0/24 Un service en ligne a aussi ouvert : http://filippo.io/Heartbleed/ (source dispo en python sur github) Nicolas 2014-04-09 16:52 GMT+02:00 Stephane Bortzmeyer bortzme...@nic.fr: On Tue, Apr 08, 2014 at 09:56:41PM +0200, Stephane Bortzmeyer bortzme...@nic.fr wrote a message of 13 lines which said: Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... Pour Cisco : http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Des fois, une librairie est statique ... mgc@infra:~$ strings /usr/sbin/sshd | grep -i ssl SSLeay OPENSSL_config OPENSSL_add_all_algorithms_noconf SSLeay_version OPENSSL_1.0.0 OpenSSL version mismatch. Built against %lx, you have %lx $ uname -a Linux infra 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux On Wed, Apr 9, 2014 at 6:20 PM, Simon Morvan gar...@zone84.net wrote: Le 09/04/2014 23:40, jehan procaccia INT a écrit : serait-il capable de trouver une vulnérabilité dans openssh un ldd de /usr/bin/ssh et /usr/sbin/sshd sur une debian wheezy ne liste pas libssl. je ne sais pas si openssl se cache sous un autre nom dans ce cas mais il semble qu'on soit tranquille pour le coup non ? # ldd /usr/sbin/sshd linux-gate.so.1 = (0xb7753000) libwrap.so.0 = /lib/i386-linux-gnu/libwrap.so.0 (0xb76b2000) libpam.so.0 = /lib/i386-linux-gnu/libpam.so.0 (0xb76a3000) libselinux.so.1 = /lib/i386-linux-gnu/libselinux.so.1 (0xb7682000) libcrypto.so.1.0.0 = /usr/lib/i386-linux-gnu/i686/cmov/libcrypto.so.1.0.0 (0xb74c3000) libutil.so.1 = /lib/i386-linux-gnu/i686/cmov/libutil.so.1 (0xb74bf000) libz.so.1 = /lib/i386-linux-gnu/libz.so.1 (0xb74a6000) libcrypt.so.1 = /lib/i386-linux-gnu/i686/cmov/libcrypt.so.1 (0xb7474000) libgssapi_krb5.so.2 = /usr/lib/i386-linux-gnu/libgssapi_krb5.so.2 (0xb7435000) libkrb5.so.3 = /usr/lib/i386-linux-gnu/libkrb5.so.3 (0xb7363000) libcom_err.so.2 = /lib/i386-linux-gnu/libcom_err.so.2 (0xb735e000) libc.so.6 = /lib/i386-linux-gnu/i686/cmov/libc.so.6 (0xb71fa000) libnsl.so.1 = /lib/i386-linux-gnu/i686/cmov/libnsl.so.1 (0xb71e3000) libdl.so.2 = /lib/i386-linux-gnu/i686/cmov/libdl.so.2 (0xb71de000) /lib/ld-linux.so.2 (0xb7754000) libk5crypto.so.3 = /usr/lib/i386-linux-gnu/libk5crypto.so.3 (0xb71b4000) libkrb5support.so.0 = /usr/lib/i386-linux-gnu/libkrb5support.so.0 (0xb71ab000) libkeyutils.so.1 = /lib/i386-linux-gnu/libkeyutils.so.1 (0xb71a6000) libresolv.so.2 = /lib/i386-linux-gnu/i686/cmov/libresolv.so.2 (0xb7192000) libpthread.so.0 = /lib/i386-linux-gnu/i686/cmov/libpthread.so.0 (0xb7178000) # ldd /usr/bin/ssh linux-gate.so.1 = (0xb7743000) libselinux.so.1 = /lib/i386-linux-gnu/libselinux.so.1 (0xb76a4000) libresolv.so.2 = /lib/i386-linux-gnu/i686/cmov/libresolv.so.2 (0xb769) libcrypto.so.1.0.0 = /usr/lib/i386-linux-gnu/i686/cmov/libcrypto.so.1.0.0 (0xb74d) libdl.so.2 = /lib/i386-linux-gnu/i686/cmov/libdl.so.2 (0xb74cc000) libz.so.1 = /lib/i386-linux-gnu/libz.so.1 (0xb74b3000) libgssapi_krb5.so.2 = /usr/lib/i386-linux-gnu/libgssapi_krb5.so.2 (0xb7475000) libc.so.6 = /lib/i386-linux-gnu/i686/cmov/libc.so.6 (0xb7311000) /lib/ld-linux.so.2 (0xb7744000) libkrb5.so.3 = /usr/lib/i386-linux-gnu/libkrb5.so.3 (0xb723e000) libk5crypto.so.3 = /usr/lib/i386-linux-gnu/libk5crypto.so.3 (0xb7214000) libcom_err.so.2 = /lib/i386-linux-gnu/libcom_err.so.2 (0xb720f000) libkrb5support.so.0 = /usr/lib/i386-linux-gnu/libkrb5support.so.0 (0xb7206000) libkeyutils.so.1 = /lib/i386-linux-gnu/libkeyutils.so.1 (0xb7201000) libpthread.so.0 = /lib/i386-linux-gnu/i686/cmov/libpthread.so.0 (0xb71e7000) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Gaël Martinez --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Le 08/04/2014 21:56, Stephane Bortzmeyer a écrit : On Tue, Apr 08, 2014 at 12:12:53AM +0200, Arthur Fernandez - Liazo arthur.fernan...@liazo.fr wrote a message of 20 lines which said: il semblerait qu'une faille inquiétante vient d'être découverte dans openssl... Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... Oui, aussi ;-) Bon, faut regarder/vérifier les versions. mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/