David Prévot a écrit :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
West a écrit :
Salut,
Apres une mise à jour via aptitude sur ma Etch + Reboot.
Le reboot ne sert à rien si tu ne changes pas le noyau...
J'ai vérifié la version openssl, j'ai toujours :
#openssl version
OpenSSL 0.9.8c 05 Sep 2006
Je suis surpris, comment obtiens-tu la date ? D'après le changelog de
Debian, la version 0.9.8c ne semble pas avoir été publiée (sous Debian),
et à cette date, c'est la version 0.9.8b-3 qui faisait son apparition
dans Sid (juste avant l'introduction de la vulnérabilité soit dit en
passant ;).
Est-ce normal ?
Comment m'assurer que j'ai bien la version corrigée ?
Tu va faire un tour sur l'annonce de sécurité [1] et tu t'aperçois que
le problème récemment détecté est corrigé avec la version 0.9.8c-4etch3
publiée le 13 mai 2008. Donc a priori tu as un problème, mais envoie le
contenu de /etc/apt/sources.list et le retour de la commande suivante :
$ apt-cache policy openssl
afin que l'on puisse en juger sur pièce.
[1] http://www.debian.org/security/2008/dsa-1571
Derniere question, j'ai réalisé mes clef privé pour l'authentification à
ssh via Puttygen, mais sur Windows ! Confirmez vous que ces clefs sont
correct ?
Il y a des chances, vérifie les avec openssl-vulnkey pour t'en persuader...
Amicalement
David
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFIPUMz18/WetbTC/oRArhcAJ41+grZK2OpAfmgLGRqo2xc702aCQCfcm39
jGdyC8pJtHwqG8MfrMRBD4Q=
=biH1
-----END PGP SIGNATURE-----
Oui je m'en suis douter pour le reboot, mes constatant que j'avais pas
0.9.8c-4Etch, j'ai rebooté, mais sans effet puisque en lancnat cette
commande:
# openssl version
j'obtiens:
OpenSSL 0.9.8c 05 Sep 2006
et non pas pas 0.9.8c-4, c'est pour cette raison que je suis venu ici.
Le resultat de apt-cache:
# apt-cache policy openssl
openssl:
Installed: 0.9.8c-4etch3
Candidate: 0.9.8c-4etch3
Version table:
*** 0.9.8c-4etch3 0
500 http://security.debian.org etch/updates/main Packages
100 /var/lib/dpkg/status
0.9.8c-4etch1 0
500 ftp://mir1.ovh.net etch/main Packages
Pourtant j'ai toujours 0.9.8cavec "openssl version".
Bien, déjà le "Installed: 0.9.8c-4etch3" me ressure "un peu".
J'ai confirmé avec :
# dpkg -l openssl
||/ Name Version Description
+++-==============-==============-============================================
ii openssl 0.9.8c-4etch3 Secure Socket Layer (SSL) binary and
related
Maintenant pourquoi il m'affiche cette version j'en sais rien. Pourriez
faire un test et me dire si vous avez le meme résultat parceque je ne
suis que tres peu rassuré.
# openssl version
Concernant la clef générée via puttygen windows, javais deja fais le
test avec openssl-vulkey apres avoir mis à jour openssh et régénérer les
clefs publiques et privées du serveur, mais je n'ai pas (encore) changé
ma clef privée générée depuis putty (win) qui me permet d'ailleurs de me
connecter au serveur sans mot de passe.
Il a rien détecté, j'ai également réalisé un test avec dowkd.pl, lui
aussi n'a rien détecté. Mais je compte tout de meme tout changé (pas
dans l'urgence) d'ici la semaine prochaine.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
