’soir, gros pépin avec openssl (et donc avec openssh) : depuis le 4 mai 2006, les clefs générées ne sont pas assez aléatoires. Gros trou de sécurité, donc. C’est passé sur la liste sécurité, http://lists.debian.org/debian-security-announce/2008/msg00152.html mais tout le monde n’y est peut-être pas abonné alors je me permets de relayer ici.
Ça touche, au moins : — le serveur ssh, qui génère ses clefs au premier démarrage ; — les utilisateurs qui ont généré des clefs (ssh-keygen) ; — les certificats de serveurs web (x509, pour https). Il faudra donc installer la nouvelle version, qui va arriver sous peu dans les dépôts, virer les clefs (/etc/ssh/*key* /home/*/.ssh/id_*), regénérer les clefs (dpkg-reconfigure -d low openssh-server, et ssh-keygen -t dsa, ssh-keygen -t rsa pour chaque utilisateur) et redistribuer ces clefs là où elles servent (celles qui ont été copiées dans les fichiers .ssh/authorized_keys d’autres machines p.ex.). http://www.debian.org/security/key-rollover/ devrait bientôt expliquer quels paquets sont touchés et que faire pour chacun. Un petit programme perl est disponible http://security.debian.org/project/extra/dowkd/dowkd.pl.gz pour tester ses clefs : $ perl dowkd.pl host localhost # pour un serveur ssh $ perl dowkd.pl user # pour tous les utilisateurs $ perl dowkd.pl help # pour le reste… Si vous n’avez pas de serveur ssh ou si vous n’avez jamais utilisé la commande ssh-keygen, il y a très peu de chance (voire aucune) que cela vous touche/intéresse. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]