subject:"\[FRnOG\] \[ALERT\] Nouvelle faille openssl"

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-10 Par sujet Bertrand Yvain


On Thu, Apr 10, 2014 at 04:49:06AM +0200, Thibaud CANALE wrote:

Effectivement, concernant OpenSSH, nous pouvons être relativement
tranquille


Même chez Juniper ?

https://www.mail-archive.com/tech%40openbsd.org/msg17420.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-09 Par sujet Thibaud CANALE

Bonsoir,

2014-04-10T01:20:11+02:00, Simon Morvan  wrote:
> Le 09/04/2014 23:40, jehan procaccia INT a écrit :
> > serait-il capable de trouver une vulnérabilité dans openssh
> un ldd de /usr/bin/ssh et /usr/sbin/sshd sur une debian wheezy ne liste
> pas libssl.
> 
> je ne sais pas si openssl se cache sous un autre nom dans ce cas mais il
> semble qu'on soit tranquille pour le coup non ?

Effectivement, concernant OpenSSH, nous pouvons être relativement
tranquille, pas parce que OpenSSH n'utilise pas OpenSSL, mais parce
qu'OpenSSH n'utilise mais pas TLS pour le transport (au niveau de la
couche Application du modèle TCP/IP) ; ce qu'OpenSSH utilise d'OpenSSL
concerne les algorithmes de chiffrement.

Donc, pas de HeartBeat en vue pour SSH ; par contre, nginx, postfix, et
des logiciels XMPP peuvent être concernés.

Voilà pour mes 2 centimes.

Salutations,

-- 
Thibaud CANALE
thican [at] thican [dot] net
http://thican.net/
GPG: 4096R/50733A18

signature.asc
Description: Digital signature

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Samuel Thibault

Fried Wil, le Mon 07 Apr 2014 19:07:59 -0400, a écrit :
> *et pour info Ubuntu n'est pas
> affectéhttp://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0160.html
> *

Heu, non, la page indique simplement que les versions corrigeant le
problème sont disponibles pour mettre à jour son système.

Samuel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Fried Wil

*http://security-world.blogspot.ca/2014/04/security-dsa-2896-1-openssl-security.html

pour debian*



*et pour info Ubuntu n'est pas
affectéhttp://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-0160.html
*


2014-04-07 18:53 GMT-04:00 Breuil Clément :

> Le 08/04/2014 00:45, Mathieu Arnold a écrit :
> >
> >
> > +--On 7 avril 2014 18:23:04 -0400 Fried Wil  >
> > wrote:
> > | Le mieux est de faire suivre l'adviso officiel :)
> > | http://www.openssl.org/news/secadv_20140407.txt
> > |  la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi
> >
> > Comme je disais ailleurs, il n'y a que les releases 1.0.1 à 1.0.1f qui
> > sont vulnérables, pas celles d'avant.
> >
> Pour ma part sur Ubuntu 12.04.4
> openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium
>
>   * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
> - debian/patches/CVE-2014-0160.patch: use correct lengths in
>   ssl/d1_both.c, ssl/t1_lib.c.
> - CVE-2014-0160
>
> et sur Debian Wheezy
>
> openssl  1.0.1e-2+deb7u5   Secure Socket Layer (SSL) binary and related
> cryptographic tools
>
> Pas encore de changelog, mais ça doit être fixé !
>
>
> http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u5_changelog
> https://packages.debian.org/fr/source/wheezy/openssl
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Wilfried Pascault
06.84.49.39.66
wilfried.pasca...@gmail.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Breuil Clément

Le 08/04/2014 00:45, Mathieu Arnold a écrit :
>
>
> +--On 7 avril 2014 18:23:04 -0400 Fried Wil 
> wrote:
> | Le mieux est de faire suivre l'adviso officiel :)
> | http://www.openssl.org/news/secadv_20140407.txt
> |  la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi
>
> Comme je disais ailleurs, il n'y a que les releases 1.0.1 à 1.0.1f qui
> sont vulnérables, pas celles d'avant.
>
Pour ma part sur Ubuntu 12.04.4
openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium

  * SECURITY UPDATE: memory disclosure in TLS heartbeat extension
- debian/patches/CVE-2014-0160.patch: use correct lengths in
  ssl/d1_both.c, ssl/t1_lib.c.
- CVE-2014-0160

et sur Debian Wheezy

openssl  1.0.1e-2+deb7u5   Secure Socket Layer (SSL) binary and related
cryptographic tools

Pas encore de changelog, mais ça doit être fixé !

http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_1.0.1e-2+deb7u5_changelog
https://packages.debian.org/fr/source/wheezy/openssl


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Fried Wil

+1 :) en effet, oublié de le précisé !
Merci pour al précision Mathieu


2014-04-07 18:45 GMT-04:00 Mathieu Arnold :

>
>
> +--On 7 avril 2014 18:23:04 -0400 Fried Wil 
> wrote:
> | Le mieux est de faire suivre l'adviso officiel :)
> | http://www.openssl.org/news/secadv_20140407.txt
> |  la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi
>
> Comme je disais ailleurs, il n'y a que les releases 1.0.1 à 1.0.1f qui
> sont vulnérables, pas celles d'avant.
>
> --
> Mathieu Arnold
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Wilfried Pascault
wilfried.pasca...@gmail.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Mathieu Arnold



+--On 7 avril 2014 18:23:04 -0400 Fried Wil 
wrote:
| Le mieux est de faire suivre l'adviso officiel :)
| http://www.openssl.org/news/secadv_20140407.txt
|  la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi

Comme je disais ailleurs, il n'y a que les releases 1.0.1 à 1.0.1f qui
sont vulnérables, pas celles d'avant.

-- 
Mathieu Arnold


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Fried Wil

Le mieux est de faire suivre l'adviso officiel :)
http://www.openssl.org/news/secadv_20140407.txt
 la version 1.0.1g corrige la vuln ; la 1.0.2beta2 la corrige aussi



2014-04-07 18:12 GMT-04:00 Arthur Fernandez - Liazo <
arthur.fernan...@liazo.fr>:

> Salut,
>
> il semblerait qu'une faille inquiétante vient d'être découverte dans
> openssl...
> je fais suivre cette url : http://heartbleed.com/ , il s'agit d'un peu de
> vulgarisation à son sujet.
>
> A+
>
> --
> Arthur Fernandez - Directeur / CEO
> Liazo - Solutions sur mesure pour opérateurs et entreprises exigeantes.
> Tel:+33.1.82.28.82.82, Fax:+33.1.82.28.82.70.
> siège : 3/7 rue Albert Marquet, 75020 Paris
> antenne : 35 rue des jeuneurs, 75002 Paris
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Wilfried Pascault
06.84.49.39.66
wilfried.pasca...@gmail.com

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Nouvelle faille openssl

2014-04-07 Par sujet Arthur Fernandez - Liazo


Salut,

il semblerait qu'une faille inquiétante vient d'être découverte dans 
openssl...
je fais suivre cette url : http://heartbleed.com/ , il s'agit d'un peu 
de vulgarisation à son sujet.


A+

--
Arthur Fernandez - Directeur / CEO
Liazo - Solutions sur mesure pour opérateurs et entreprises exigeantes.
Tel:+33.1.82.28.82.82, Fax:+33.1.82.28.82.70.
siège : 3/7 rue Albert Marquet, 75020 Paris
antenne : 35 rue des jeuneurs, 75002 Paris


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

Re: [FRnOG] [ALERT] Nouvelle faille openssl

[FRnOG] [ALERT] Nouvelle faille openssl

9 matches

Site Navigation

Mail list logo

Footer information