[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Mon, Apr 07, 2014 at 06:23:04PM -0400,
 Fried Wil  wrote 
 a message of 41 lines which said:

> Le mieux est de faire suivre l'adviso officiel :)
> http://www.openssl.org/news/secadv_20140407.txt

Vous pouvez tester vos serveurs HTTPS (mais attention : la faille
n'est pas spécifique à HTTPS, des serveurs IMAP ou autres peuvent
être vulnérables également) pour la faille CVE-2014-0160
(HeartBleed) :

http://filippo.io/Heartbleed
http://possible.lv/tools/hb/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Tue, Apr 08, 2014 at 12:12:53AM +0200,
 Arthur Fernandez - Liazo  wrote 
 a message of 20 lines which said:

> il semblerait qu'une faille inquiétante vient d'être découverte dans
> openssl...

Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Wed, Apr 09, 2014 at 09:47:30AM +0200,
 Sylvain Busson  wrote 
 a message of 25 lines which said:

> Et n'oublié pas les Secure Acces game SA en CO... largement deployés...

Sur une autre liste, quelqu'un témoignait avoir réussi à dumper l'info
(par exemple les ACL) d'un pare-feu Fortigate. Donc, il n'y a pas que
les serveurs Linux avec Apache qu'il faut surveiller.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Wed, Apr 09, 2014 at 03:33:43PM +0100,
 Fabien Bourdaire  wrote 
 a message of 42 lines which said:

> iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 

Faut juste se rappeler que Heartbleed n'affecte pas que HTTPS. Et je
suis sceptique sur ces règles u32. TLS hérite d'ASN1 la possibilité
d'avoir plusieurs encodages pour la même info.

 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Tue, Apr 08, 2014 at 09:56:41PM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 13 lines which said:

> Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...

Pour Cisco :

http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Tue, Apr 08, 2014 at 09:56:41PM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 13 lines which said:

> Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...

La liste officielle de Juniper. Pas mal de produits touchés :

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10623

2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL 
"Heartbleed" issue (CVE-2014-0160) 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Thu, Apr 10, 2014 at 01:09:46PM +0200,
 Bertrand Yvain  wrote 
 a message of 12 lines which said:

> Même chez Juniper ?
> 
> https://www.mail-archive.com/tech%40openbsd.org/msg17420.html

Gross troll par un gros trolleur connu. On est vendredi, on
l'excusera.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Thu, Apr 10, 2014 at 02:45:48PM +0200,
 Gilles Mocellin  wrote 
 a message of 29 lines which said:

> >Oui le script nmap fonctionne avec l'ensemble des services utilisant une
> >couche SSL/TLS:

[Ce qui est faux]

> Par contre, ça ne doit pas supporté le STARTTLS, 

Tout à fait. Notez que ssltest.py gère le STARTTLS mais uniquement
pour SMTP.

> Mais peut-être que les connexions utilisant STARTTLS ne sont pas
> concernées par la faille ?

Si, si, comme les autres.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Nouvelle faille openssl

[Stephane Bortzmeyer]

On Fri, Apr 11, 2014 at 03:00:59PM +0200,
 technicien hahd  wrote 
 a message of 28 lines which said:

> Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la 
> sécurité.

Ah, ah, ah.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Michael Hallgren]

Le 08/04/2014 21:56, Stephane Bortzmeyer a écrit :
> On Tue, Apr 08, 2014 at 12:12:53AM +0200,
>  Arthur Fernandez - Liazo  wrote 
>  a message of 20 lines which said:
>
>> il semblerait qu'une faille inquiétante vient d'être découverte dans
>> openssl...
> Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...

Oui, aussi ;-) Bon, faut regarder/vérifier les versions.

mh

>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Sylvain Busson]

Et n'oublié pas les Secure Acces game SA en CO... largement deployés...
SBU


- Original Message - 
From: "Stephane Bortzmeyer" 

To: "Arthur Fernandez - Liazo" 
Cc: 
Sent: Tuesday, April 08, 2014 9:56 PM
Subject: [FRnOG] Re: [ALERT] Nouvelle faille openssl



On Tue, Apr 08, 2014 at 12:12:53AM +0200,
Arthur Fernandez - Liazo  wrote
a message of 20 lines which said:


il semblerait qu'une faille inquiétante vient d'être découverte dans
openssl...


Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...


---
Liste de diffusion du FRnOG
http://www.frnog.org/ 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Fabien Bourdaire]

Le traffic peut etre blocker grace a iptables & u32 en upstream:

# Log rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 \
"52=0x1803:0x1803" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

# Block rules
iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 \
"52=0x1803:0x1803" -j DROP

# Wireshark rules
$ tshark  -i interface port 443 -R 'frame[68:1] == 18'
$ tshark  -i interface port 443 -R 'ssl.record.content_type == 24'



http://www.securityfocus.com/archive/1/531779/30/0/threaded


2014-04-09 15:04 GMT+01:00 Stephane Bortzmeyer :

> On Wed, Apr 09, 2014 at 09:47:30AM +0200,
>  Sylvain Busson  wrote
>  a message of 25 lines which said:
>
> > Et n'oublié pas les Secure Acces game SA en CO... largement deployés...
>
> Sur une autre liste, quelqu'un témoignait avoir réussi à dumper l'info
> (par exemple les ACL) d'un pare-feu Fortigate. Donc, il n'y a pas que
> les serveurs Linux avec Apache qu'il faut surveiller.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Nicolas GOLLET]

Bonjour à tous,

pour scanner rapidement si vous avez des équipements/serveurs vulnérable il
existe un script nmap pour ça sur leur svn :)
https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

exemple : nmap -p 443 --script ssl-heartbleed.nse 192.168.1.0/24

Un service en ligne a aussi ouvert : http://filippo.io/Heartbleed/
(source dispo en python sur github)

Nicolas




2014-04-09 16:52 GMT+02:00 Stephane Bortzmeyer :

> On Tue, Apr 08, 2014 at 09:56:41PM +0200,
>  Stephane Bortzmeyer  wrote
>  a message of 13 lines which said:
>
> > Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...
>
> Pour Cisco :
>
>
> http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[jehan procaccia INT]

Bonsoir,

le script nmap fonctionne tres bien et est tres efficace pour scanner en 
masse , merci ,
maintenant je m'interroge sur sa capacité a tester d'autres services 
ssl/tls que https/443 ?
serait-il capable de trouver une vulnérabilité dans openssh (22) imaps 
(993), smtps (465) , ldaps (636) ?
des scan 443 ont révélés la faille sur des serveurs non encore updatés, 
mais sur les ports 22,993,465 et 636 je n'ai encore rien trouvé sur de 
tels serveurs.
soit le script n'est pas adapté, soit ces autres services utilisent une 
autre librairie ?


Jehan .

Le 09/04/2014 17:02, Nicolas GOLLET a écrit :

Bonjour à tous,

pour scanner rapidement si vous avez des équipements/serveurs vulnérable il
existe un script nmap pour ça sur leur svn :)
https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

exemple : nmap -p 443 --script ssl-heartbleed.nse 192.168.1.0/24

Un service en ligne a aussi ouvert : http://filippo.io/Heartbleed/
(source dispo en python sur github)

Nicolas




2014-04-09 16:52 GMT+02:00 Stephane Bortzmeyer :


On Tue, Apr 08, 2014 at 09:56:41PM +0200,
  Stephane Bortzmeyer  wrote
  a message of 13 lines which said:


Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...

Pour Cisco :


http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Simon Morvan]

Le 09/04/2014 23:40, jehan procaccia INT a écrit :
> serait-il capable de trouver une vulnérabilité dans openssh
un ldd de /usr/bin/ssh et /usr/sbin/sshd sur une debian wheezy ne liste
pas libssl.

je ne sais pas si openssl se cache sous un autre nom dans ce cas mais il
semble qu'on soit tranquille pour le coup non ?

# ldd /usr/sbin/sshd
linux-gate.so.1 =>  (0xb7753000)
libwrap.so.0 => /lib/i386-linux-gnu/libwrap.so.0 (0xb76b2000)
libpam.so.0 => /lib/i386-linux-gnu/libpam.so.0 (0xb76a3000)
libselinux.so.1 => /lib/i386-linux-gnu/libselinux.so.1 (0xb7682000)
libcrypto.so.1.0.0 =>
/usr/lib/i386-linux-gnu/i686/cmov/libcrypto.so.1.0.0 (0xb74c3000)
libutil.so.1 => /lib/i386-linux-gnu/i686/cmov/libutil.so.1
(0xb74bf000)
libz.so.1 => /lib/i386-linux-gnu/libz.so.1 (0xb74a6000)
libcrypt.so.1 => /lib/i386-linux-gnu/i686/cmov/libcrypt.so.1
(0xb7474000)
libgssapi_krb5.so.2 =>
/usr/lib/i386-linux-gnu/libgssapi_krb5.so.2 (0xb7435000)
libkrb5.so.3 => /usr/lib/i386-linux-gnu/libkrb5.so.3 (0xb7363000)
libcom_err.so.2 => /lib/i386-linux-gnu/libcom_err.so.2 (0xb735e000)
libc.so.6 => /lib/i386-linux-gnu/i686/cmov/libc.so.6 (0xb71fa000)
libnsl.so.1 => /lib/i386-linux-gnu/i686/cmov/libnsl.so.1
(0xb71e3000)
libdl.so.2 => /lib/i386-linux-gnu/i686/cmov/libdl.so.2 (0xb71de000)
/lib/ld-linux.so.2 (0xb7754000)
libk5crypto.so.3 => /usr/lib/i386-linux-gnu/libk5crypto.so.3
(0xb71b4000)
libkrb5support.so.0 =>
/usr/lib/i386-linux-gnu/libkrb5support.so.0 (0xb71ab000)
libkeyutils.so.1 => /lib/i386-linux-gnu/libkeyutils.so.1
(0xb71a6000)
libresolv.so.2 => /lib/i386-linux-gnu/i686/cmov/libresolv.so.2
(0xb7192000)
libpthread.so.0 => /lib/i386-linux-gnu/i686/cmov/libpthread.so.0
(0xb7178000)


# ldd /usr/bin/ssh
linux-gate.so.1 =>  (0xb7743000)
libselinux.so.1 => /lib/i386-linux-gnu/libselinux.so.1 (0xb76a4000)
libresolv.so.2 => /lib/i386-linux-gnu/i686/cmov/libresolv.so.2
(0xb769)
libcrypto.so.1.0.0 =>
/usr/lib/i386-linux-gnu/i686/cmov/libcrypto.so.1.0.0 (0xb74d)
libdl.so.2 => /lib/i386-linux-gnu/i686/cmov/libdl.so.2 (0xb74cc000)
libz.so.1 => /lib/i386-linux-gnu/libz.so.1 (0xb74b3000)
libgssapi_krb5.so.2 =>
/usr/lib/i386-linux-gnu/libgssapi_krb5.so.2 (0xb7475000)
libc.so.6 => /lib/i386-linux-gnu/i686/cmov/libc.so.6 (0xb7311000)
/lib/ld-linux.so.2 (0xb7744000)
libkrb5.so.3 => /usr/lib/i386-linux-gnu/libkrb5.so.3 (0xb723e000)
libk5crypto.so.3 => /usr/lib/i386-linux-gnu/libk5crypto.so.3
(0xb7214000)
libcom_err.so.2 => /lib/i386-linux-gnu/libcom_err.so.2 (0xb720f000)
libkrb5support.so.0 =>
/usr/lib/i386-linux-gnu/libkrb5support.so.0 (0xb7206000)
libkeyutils.so.1 => /lib/i386-linux-gnu/libkeyutils.so.1
(0xb7201000)
libpthread.so.0 => /lib/i386-linux-gnu/i686/cmov/libpthread.so.0
(0xb71e7000)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Gael Martinez]

Des fois, une librairie est statique ...

mgc@infra:~$ strings /usr/sbin/sshd  | grep -i ssl
SSLeay
OPENSSL_config
OPENSSL_add_all_algorithms_noconf
SSLeay_version
OPENSSL_1.0.0
OpenSSL version mismatch. Built against %lx, you have %lx
$ uname -a
Linux infra 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux




On Wed, Apr 9, 2014 at 6:20 PM, Simon Morvan  wrote:

> Le 09/04/2014 23:40, jehan procaccia INT a écrit :
> > serait-il capable de trouver une vulnérabilité dans openssh
> un ldd de /usr/bin/ssh et /usr/sbin/sshd sur une debian wheezy ne liste
> pas libssl.
>
> je ne sais pas si openssl se cache sous un autre nom dans ce cas mais il
> semble qu'on soit tranquille pour le coup non ?
>
> # ldd /usr/sbin/sshd
> linux-gate.so.1 =>  (0xb7753000)
> libwrap.so.0 => /lib/i386-linux-gnu/libwrap.so.0 (0xb76b2000)
> libpam.so.0 => /lib/i386-linux-gnu/libpam.so.0 (0xb76a3000)
> libselinux.so.1 => /lib/i386-linux-gnu/libselinux.so.1 (0xb7682000)
> libcrypto.so.1.0.0 =>
> /usr/lib/i386-linux-gnu/i686/cmov/libcrypto.so.1.0.0 (0xb74c3000)
> libutil.so.1 => /lib/i386-linux-gnu/i686/cmov/libutil.so.1
> (0xb74bf000)
> libz.so.1 => /lib/i386-linux-gnu/libz.so.1 (0xb74a6000)
> libcrypt.so.1 => /lib/i386-linux-gnu/i686/cmov/libcrypt.so.1
> (0xb7474000)
> libgssapi_krb5.so.2 =>
> /usr/lib/i386-linux-gnu/libgssapi_krb5.so.2 (0xb7435000)
> libkrb5.so.3 => /usr/lib/i386-linux-gnu/libkrb5.so.3 (0xb7363000)
> libcom_err.so.2 => /lib/i386-linux-gnu/libcom_err.so.2 (0xb735e000)
> libc.so.6 => /lib/i386-linux-gnu/i686/cmov/libc.so.6 (0xb71fa000)
> libnsl.so.1 => /lib/i386-linux-gnu/i686/cmov/libnsl.so.1
> (0xb71e3000)
> libdl.so.2 => /lib/i386-linux-gnu/i686/cmov/libdl.so.2 (0xb71de000)
> /lib/ld-linux.so.2 (0xb7754000)
> libk5crypto.so.3 => /usr/lib/i386-linux-gnu/libk5crypto.so.3
> (0xb71b4000)
> libkrb5support.so.0 =>
> /usr/lib/i386-linux-gnu/libkrb5support.so.0 (0xb71ab000)
> libkeyutils.so.1 => /lib/i386-linux-gnu/libkeyutils.so.1
> (0xb71a6000)
> libresolv.so.2 => /lib/i386-linux-gnu/i686/cmov/libresolv.so.2
> (0xb7192000)
> libpthread.so.0 => /lib/i386-linux-gnu/i686/cmov/libpthread.so.0
> (0xb7178000)
>
>
> # ldd /usr/bin/ssh
> linux-gate.so.1 =>  (0xb7743000)
> libselinux.so.1 => /lib/i386-linux-gnu/libselinux.so.1 (0xb76a4000)
> libresolv.so.2 => /lib/i386-linux-gnu/i686/cmov/libresolv.so.2
> (0xb769)
> libcrypto.so.1.0.0 =>
> /usr/lib/i386-linux-gnu/i686/cmov/libcrypto.so.1.0.0 (0xb74d)
> libdl.so.2 => /lib/i386-linux-gnu/i686/cmov/libdl.so.2 (0xb74cc000)
> libz.so.1 => /lib/i386-linux-gnu/libz.so.1 (0xb74b3000)
> libgssapi_krb5.so.2 =>
> /usr/lib/i386-linux-gnu/libgssapi_krb5.so.2 (0xb7475000)
> libc.so.6 => /lib/i386-linux-gnu/i686/cmov/libc.so.6 (0xb7311000)
> /lib/ld-linux.so.2 (0xb7744000)
> libkrb5.so.3 => /usr/lib/i386-linux-gnu/libkrb5.so.3 (0xb723e000)
> libk5crypto.so.3 => /usr/lib/i386-linux-gnu/libk5crypto.so.3
> (0xb7214000)
> libcom_err.so.2 => /lib/i386-linux-gnu/libcom_err.so.2 (0xb720f000)
> libkrb5support.so.0 =>
> /usr/lib/i386-linux-gnu/libkrb5support.so.0 (0xb7206000)
> libkeyutils.so.1 => /lib/i386-linux-gnu/libkeyutils.so.1
> (0xb7201000)
> libpthread.so.0 => /lib/i386-linux-gnu/i686/cmov/libpthread.so.0
> (0xb71e7000)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Gaël Martinez

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Vincent Bernat]

 ❦ 10 avril 2014 02:01 CEST, Gael Martinez  :

> Des fois, une librairie est statique ...
>
> mgc@infra:~$ strings /usr/sbin/sshd  | grep -i ssl
> SSLeay
> OPENSSL_config
> OPENSSL_add_all_algorithms_noconf
> SSLeay_version
> OPENSSL_1.0.0
> OpenSSL version mismatch. Built against %lx, you have %lx
> $ uname -a
> Linux infra 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux

Il y a utilisation de la libcrypto (qui est OpenSSL), mais pas de la
libssl (qui est TLS et qui contient la faille).
-- 
printk("What? oldfid != cii->c_fid. Call 911.\n");
2.4.3 linux/fs/coda/cnode.c


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Nicolas GOLLET]

Bonjour,
Oui le script nmap fonctionne avec l'ensemble des services utilisant une
couche SSL/TLS:
 maps (993), smtps (465) , ldaps (636) (et tout autre service SSL/TLS)

exemple : nmap -p 443,993,465,636 --script ssl-heartbleed.nse 192.168.1.0/24

;)

++
Nicolas


Le 9 avril 2014 23:33, Jehan Procaccia  a
écrit :

> Bonsoir,
>
> le script nmap fonctionne tres bien et est tres efficace pour scanner en
> masse , merci ,
> maintenant je m'interroge sur sa capacité a tester d'autres services
> ssl/tls que https/443 ?
> serait-il capable de trouver une vulnérabilité dans openssh (22) imaps
> (993), smtps (465) , ldaps (636) ?
> des scan 443 ont révélés la faille sur des serveurs non encore updatés,
> mais sur les ports 22,993,465 et 636 je n'ai encore rien trouvé sur de tels
> serveurs.
> soit le script n'est pas adapté, soit ces autres services utilisent une
> autre librairie ?
>
> Jehan .
>
> Le 09/04/2014 17:02, Nicolas GOLLET a écrit :
>
>  Bonjour à tous,
>>
>> pour scanner rapidement si vous avez des équipements/serveurs vulnérable
>> il
>> existe un script nmap pour ça sur leur svn :)
>> https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse
>>
>> exemple : nmap -p 443 --script ssl-heartbleed.nse 192.168.1.0/24
>>
>> Un service en ligne a aussi ouvert : http://filippo.io/Heartbleed/
>> (source dispo en python sur github)
>>
>> Nicolas
>>
>>
>>
>>
>> 2014-04-09 16:52 GMT+02:00 Stephane Bortzmeyer :
>>
>>  On Tue, Apr 08, 2014 at 09:56:41PM +0200,
>>>   Stephane Bortzmeyer  wrote
>>>   a message of 13 lines which said:
>>>
>>>  Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...

>>> Pour Cisco :
>>>
>>>
>>> http://blogs.cisco.com/security/openssl-heartbleed-
>>> vulnerability-cve-2014-0160-cisco-products-and-mitigations/
>>>
>>>
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>>
>>>  ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Gilles Mocellin]

Le 10/04/2014 12:54, Nicolas GOLLET a écrit :

Bonjour,
Oui le script nmap fonctionne avec l'ensemble des services utilisant une
couche SSL/TLS:
  maps (993), smtps (465) , ldaps (636) (et tout autre service SSL/TLS)

exemple : nmap -p 443,993,465,636 --script ssl-heartbleed.nse 192.168.1.0/24

;)

++
Nicolas



Bonjour,

Par contre, ça ne doit pas supporté le STARTTLS, où la communication 
commence non-chiffrée.
Mais peut-être que les connexions utilisant STARTTLS ne sont pas 
concernées par la faille ?


En cherchant une minute, je suis tombé sur ce script qui test aussi le 
STARTTLS (donc vulnérable) :

https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Pierre Col - p...@9online.fr]

Chez Antidot avec 300+ serveurs et du Juniper (mais pas d Cisco) dans le réseau 
on est passé au travers : aucun matos vulnérable... mais rien que la 
vérification a mobilisé un peu de monde.

-- 
Pierre





Message du : 11/04/2014 09:12
De : "Stephane Bortzmeyer " 
A : "Arthur Fernandez - Liazo" 
Copie à : frnog-al...@frnog.org
Sujet : [FRnOG] Re: [ALERT] Nouvelle faille openssl


 On Tue, Apr 08, 2014 at 09:56:41PM +0200,
 Stephane Bortzmeyer  wrote 
 a message of 13 lines which said:

> Et n'oubliez pas que vos routeurs Juniper ont OpenSSL...

La liste officielle de Juniper. Pas mal de produits touchés :

http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10623

2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL 
"Heartbleed" issue (CVE-2014-0160) 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote:
> On Thu, Apr 10, 2014 at 01:09:46PM +0200,
>  Bertrand Yvain  wrote
> 
>  a message of 12 lines which said:
> > Même chez Juniper ?
> > 
> > https://www.mail-archive.com/tech%40openbsd.org/msg17420.html
> 
> Gross troll par un gros trolleur connu. On est vendredi, on
> l'excusera.


Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on 
ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur 
la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ?

Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la 
sécurité.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Florian Stosse]

Cet échange devient de plus en plus constructif, dites donc...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Julien Gormotte]

Le Fri, 11 Apr 2014 15:00:59 +0200,
technicien hahd  a écrit :

> On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote:
> > On Thu, Apr 10, 2014 at 01:09:46PM +0200,
> >  Bertrand Yvain  wrote
> > 
> >  a message of 12 lines which said:
> > > Même chez Juniper ?
> > > 
> > > https://www.mail-archive.com/tech%40openbsd.org/msg17420.html
> > 
> > Gross troll par un gros trolleur connu. On est vendredi, on
> > l'excusera.
> 
> 
> Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi on 
> ne doit pas accorder d'importance à cette remarque du fondateur d'openSSH sur 
> la présence d'une faille openSSH dans FreeBSD et dérivés comme juniper ?
> 
> Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la 
> sécurité.
> 

Il a tout de même un long passé de gros troll.
Et dans le cas présent :
-> Si effectivement, faille il y a, et qu'il ne la divulgue pas aux concernés 
parce que c'est des gros vilains et que nananère, c'est un gros con.
-> Si il n'y a pas de faille, et que c'est juste du FUD... euh même conclusion.

Il sait peut etre de quoi il parle mais cette attitude, c'est juste n'importe 
quoi. Soit il mets en danger la sécurité informatique des utilisateurs d'un OS 
"concurrent" pour des raisons purement personnelles, soit il fait du FUD.

En même temps, il s'est fait virer de NetBSD, a fait perdre des financements à 
OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter civilement.

(je suis d'accord avec les raisons qui l'ont poussé à désapprouver l'occupation 
US en Irak. Simplement pas avec le fait qu'il l'ait fait au détriment de 
projets qui n'impliquent pas que lui).


> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Franck Leroy]

+1

°°°
Franck Leroy
Telemaque - SOPHIA ANTIPOLIS
Les Espaces de Sophia - Bat E
80 Route des Lucioles
06560 Valbonne
Tel : +33 4 92 90 99 86
Fax : +33 4 92 90 91 42
f...@telemaque.fr
°°°

Le 11/04/2014 15:14, Florian Stosse a écrit :

Cet échange devient de plus en plus constructif, dites donc...

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Friday 11 April 2014 15:07:03 Stephane Bortzmeyer wrote:
> On Fri, Apr 11, 2014 at 03:00:59PM +0200,
>  technicien hahd  wrote
> 
>  a message of 28 lines which said:
> > Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la
> > sécurité.
> 
> Ah, ah, ah.

Quelque chose d'un peu plus constructif serait bienvenue pour ceux qui ne 
suivent pas de près ce qui se passe chez openssh.

Que Theo de Raadt ait de fortes opinions et s'exprime fort ne suffit pas à 
faire 
du fondateur et leader d'openBSD et openSSH un incompétent qui dit n'importe 
quoi dès que l'occcasion se présente.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Friday 11 April 2014 15:19:37 you wrote:
> Le Fri, 11 Apr 2014 15:00:59 +0200,
> 
> technicien hahd  a écrit :
> > On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote:
> > > On Thu, Apr 10, 2014 at 01:09:46PM +0200,
> > > 
> > >  Bertrand Yvain  wrote
> > >  
> > >  a message of 12 lines which said:
> > > > Même chez Juniper ?
> > > > 
> > > > https://www.mail-archive.com/tech%40openbsd.org/msg17420.html
> > > 
> > > Gross troll par un gros trolleur connu. On est vendredi, on
> > > l'excusera.
> > 
> > Est-ce que tu pourrais nous donner un plus de détails concernant pourquoi
> > on ne doit pas accorder d'importance à cette remarque du fondateur
> > d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés
> > comme juniper ?
> > 
> > Généralement Theo de Raadt sait de quoi il parle concernant openSSH et la
> > sécurité.
> 
> Il a tout de même un long passé de gros troll.
> Et dans le cas présent :
> -> Si effectivement, faille il y a, et qu'il ne la divulgue pas aux
> concernés parce que c'est des gros vilains et que nananère, c'est un gros
> con. -> Si il n'y a pas de faille, et que c'est juste du FUD... euh même
> conclusion.
> 
> Il sait peut etre de quoi il parle mais cette attitude, c'est juste
> n'importe quoi. Soit il mets en danger la sécurité informatique des
> utilisateurs d'un OS "concurrent" pour des raisons purement personnelles,
> soit il fait du FUD.
> 
> En même temps, il s'est fait virer de NetBSD, a fait perdre des financements
> à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter
> civilement.
> 
> (je suis d'accord avec les raisons qui l'ont poussé à désapprouver
> l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au
> détriment de projets qui n'impliquent pas que lui).

Ça fait plus de 10 ans que "troll" est plus souvent utilisé pour dire 
"quelqu'un qui dit ou fait quelque chose que je n'aime pas".[1] 
Il suffirait de dire que quelqu'un est un troll pour invalider son propos ? 

Personnellement je m'en fous complètement que Théo de Raadt soit un con et 
qu'il ait un passé de troll, ce qui m'intéresse c'est de savoir si mes 
équipements juniper viennent avec une faille openSSH et sa gravité.


[1] extrait de http://xahlee.info/UnixResource_dir/writ/troll_ignorance.html
« The word trolling has somewhat specific meaning in the beginning. According 
to the Jargon File, it originally means the act of message posting that 
ensures fire, knowingly or not. Today, the word troll is both verb and noun, 
and is applied loosely to any outsider. If you don't like someone's manner, he 
is a troll. If you don't like a gadfly, he is a troll. If you don't like a 
philosopher, he is a troll. If you don't like a inquirer, he is a troll. If 
you don't like a humorist, he is a troll. If you don't like a teacher, he is a 
troll. If you don't like witches, they are, well, witches and must be witch-
hunted. Thusly, from weirdo to witch, from teacher to philosopher, from gadfly 
to firebrand, from loner to gay, they are all trolls online at your call. Quick 
spun the guild of killfilers and troll-criers. Anyone who has contrariwise 
things to say or the manner of saying it is a troll.»


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Jean-Yves Faye]

La faille dont il parle, c'est probablement un truc vague du genre :
"OpenSSH sur un OS avec SMP est troué de toute façon" ou "Le seul BSD qui
permet de faire de la sécu c'est OpenBSD". Donc si vous croyez Theo de
Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD
avec OpenBGPD, c'est fait pour.

Blague à part, l'argument d'autorité n'existe pas en science. Donc que ce
soit de Raadt, Torvalds ou Gates qui dise "x est troué", ça ne change rien.

Jean-Yves


Le 11 avril 2014 15:48, technicien hahd  a écrit :

> On Friday 11 April 2014 15:19:37 you wrote:
> > Le Fri, 11 Apr 2014 15:00:59 +0200,
> >
> > technicien hahd  a écrit :
> > > On Friday 11 April 2014 09:17:15 Stephane Bortzmeyer wrote:
> > > > On Thu, Apr 10, 2014 at 01:09:46PM +0200,
> > > >
> > > >  Bertrand Yvain  wrote
> > > >
> > > >  a message of 12 lines which said:
> > > > > Même chez Juniper ?
> > > > >
> > > > > https://www.mail-archive.com/tech%40openbsd.org/msg17420.html
> > > >
> > > > Gross troll par un gros trolleur connu. On est vendredi, on
> > > > l'excusera.
> > >
> > > Est-ce que tu pourrais nous donner un plus de détails concernant
> pourquoi
> > > on ne doit pas accorder d'importance à cette remarque du fondateur
> > > d'openSSH sur la présence d'une faille openSSH dans FreeBSD et dérivés
> > > comme juniper ?
> > >
> > > Généralement Theo de Raadt sait de quoi il parle concernant openSSH et
> la
> > > sécurité.
> >
> > Il a tout de même un long passé de gros troll.
> > Et dans le cas présent :
> > -> Si effectivement, faille il y a, et qu'il ne la divulgue pas aux
> > concernés parce que c'est des gros vilains et que nananère, c'est un gros
> > con. -> Si il n'y a pas de faille, et que c'est juste du FUD... euh même
> > conclusion.
> >
> > Il sait peut etre de quoi il parle mais cette attitude, c'est juste
> > n'importe quoi. Soit il mets en danger la sécurité informatique des
> > utilisateurs d'un OS "concurrent" pour des raisons purement personnelles,
> > soit il fait du FUD.
> >
> > En même temps, il s'est fait virer de NetBSD, a fait perdre des
> financements
> > à OpenBSD et OpenSSH, justement parce qu'il sait pas se comporter
> > civilement.
> >
> > (je suis d'accord avec les raisons qui l'ont poussé à désapprouver
> > l'occupation US en Irak. Simplement pas avec le fait qu'il l'ait fait au
> > détriment de projets qui n'impliquent pas que lui).
>
> Ça fait plus de 10 ans que "troll" est plus souvent utilisé pour dire
> "quelqu'un qui dit ou fait quelque chose que je n'aime pas".[1]
> Il suffirait de dire que quelqu'un est un troll pour invalider son propos ?
>
> Personnellement je m'en fous complètement que Théo de Raadt soit un con et
> qu'il ait un passé de troll, ce qui m'intéresse c'est de savoir si mes
> équipements juniper viennent avec une faille openSSH et sa gravité.
>
>
> [1] extrait de
> http://xahlee.info/UnixResource_dir/writ/troll_ignorance.html
> « The word trolling has somewhat specific meaning in the beginning.
> According
> to the Jargon File, it originally means the act of message posting that
> ensures fire, knowingly or not. Today, the word troll is both verb and
> noun,
> and is applied loosely to any outsider. If you don't like someone's
> manner, he
> is a troll. If you don't like a gadfly, he is a troll. If you don't like a
> philosopher, he is a troll. If you don't like a inquirer, he is a troll. If
> you don't like a humorist, he is a troll. If you don't like a teacher, he
> is a
> troll. If you don't like witches, they are, well, witches and must be
> witch-
> hunted. Thusly, from weirdo to witch, from teacher to philosopher, from
> gadfly
> to firebrand, from loner to gay, they are all trolls online at your call.
> Quick
> spun the guild of killfilers and troll-criers. Anyone who has contrariwise
> things to say or the manner of saying it is a troll.»
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Saturday 12 April 2014 16:42:09 Jean-Yves Faye wrote:
> La faille dont il parle, c'est probablement un truc vague du genre :
> "OpenSSH sur un OS avec SMP est troué de toute façon" ou "Le seul BSD qui
> permet de faire de la sécu c'est OpenBSD". Donc si vous croyez Theo de
> Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD
> avec OpenBGPD, c'est fait pour.
> 
> Blague à part, l'argument d'autorité n'existe pas en science. Donc que ce
> soit de Raadt, Torvalds ou Gates qui dise "x est troué", ça ne change rien.
> 
> Jean-Yves

Merci pour ta réponse.

À la lecture de son message j'ai supposé que la faille est réelle mais de 
l'ordre d'une implémentation qui n'est pas conforme à l'approche "sécurité 
avant tout" portée par openBSD et pas de la gravité du heartbleed. 

Mais faire reposer sa sécurité sur des suppositions et des hypothèses c'est 
une approche qui appelle à la catastrophe, je préfère demander si quelqu'un 
sait quelque chose là dessus. Et je n'accepte pas "l'écoute pas c'est un 
troll" comme un argument recevable pour ce qui concerne la sécurité. 

Marrant de constater que les discussions en rapport avec de Raadt ont 
tendance, comme avec Stallman, a dériver sur le personnage au lieu de traiter 
du sujet discuté.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Simon Perreault]

Le 2014-04-12 10:42, Jean-Yves Faye a écrit :
> La faille dont il parle, c'est probablement un truc vague du genre :
> "OpenSSH sur un OS avec SMP est troué de toute façon" ou "Le seul BSD qui
> permet de faire de la sécu c'est OpenBSD". Donc si vous croyez Theo de
> Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD
> avec OpenBGPD, c'est fait pour.

Oui. Ou plus généralement: tout OS qui n'est pas OpenBSD est troué.
Selon le point de vue, ça peut même être considéré comme vrai. Mais en
pratique, faut gérer le risque, et "troué" n'est pas blanc ou noir mais
bien un continuum. Bref, oui, probablement qu'OpenSSH est plus
sécuritaire sur OpenBSD qu'ailleurs, mais ça ne m'empêchera pas de
dormir la nuit.

Simon
-- 
DTN made easy, lean, and smart --> http://postellation.viagenie.ca
NAT64/DNS64 open-source--> http://ecdysis.viagenie.ca
STUN/TURN server   --> http://numb.viagenie.ca


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Monday 14 April 2014 09:26:36 Simon Perreault wrote:
> Le 2014-04-12 10:42, Jean-Yves Faye a écrit :
> > La faille dont il parle, c'est probablement un truc vague du genre :
> > "OpenSSH sur un OS avec SMP est troué de toute façon" ou "Le seul BSD qui
> > permet de faire de la sécu c'est OpenBSD". Donc si vous croyez Theo de
> > Raadt sur parole, vous pouvez changer tous vos Juniper contre des OpenBSD
> > avec OpenBGPD, c'est fait pour.
> 
> Oui. Ou plus généralement: tout OS qui n'est pas OpenBSD est troué.
> Selon le point de vue, ça peut même être considéré comme vrai. Mais en
> pratique, faut gérer le risque, et "troué" n'est pas blanc ou noir mais
> bien un continuum. Bref, oui, probablement qu'OpenSSH est plus
> sécuritaire sur OpenBSD qu'ailleurs, mais ça ne m'empêchera pas de
> dormir la nuit.
> 
> Simon

Et pendant ce temps là, chez openBSD ils se sont lancés dans un grand 
nettoyage de printemps d'openSSL[2] qui a débouché sur un fork: libressl[1]

[1]: http://opensslrampage.org/
[2]: http://www.libressl.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Manu]

Le 22/04/2014 10:36, technicien hahd a écrit :

Et pendant ce temps là, chez openBSD ils se sont lancés dans un grand
nettoyage de printemps d'openSSL[2] qui a débouché sur un fork: libressl[1]

[1]:http://opensslrampage.org/
[2]:http://www.libressl.org/


et je cite les raisons :
"This is about realizing belatedly that code we thought of good quality 
was not even decent, and ended up becoming too complex and unmaintainable.


So now we are hurrying to remove everything in the way of exposing the 
concrete guts of the code, fixing the bad practices inherited from the 
way we were doing security 15+ years ago, and making sure we do not 
break basic functionality in the process."


M


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Ruhi ASLAN]

Ce n est pas le seul projet utilisé par tous, maintenu par une poignée et 
horriblement codé...
-- 
Sent from my Android device with K-9 Mail. Please excuse my brevity.

On April 22, 2014 11:10:47 AM CEST, Manu  wrote:
>
>Le 22/04/2014 10:36, technicien hahd a écrit :
>> Et pendant ce temps là, chez openBSD ils se sont lancés dans un grand
>> nettoyage de printemps d'openSSL[2] qui a débouché sur un fork:
>libressl[1]
>>
>> [1]:http://opensslrampage.org/
>> [2]:http://www.libressl.org/
>
>et je cite les raisons :
>"This is about realizing belatedly that code we thought of good quality
>
>was not even decent, and ended up becoming too complex and
>unmaintainable.
>
>So now we are hurrying to remove everything in the way of exposing the 
>concrete guts of the code, fixing the bad practices inherited from the 
>way we were doing security 15+ years ago, and making sure we do not 
>break basic functionality in the process."
>
>M
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Jérémie Bouillon]

Le 22/04/2014 10:36, technicien hahd a écrit :

[2]: http://www.libressl.org/


Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Michael Hallgren]

Le 23/04/2014 04:30, Jérémie Bouillon a écrit :
> Le 22/04/2014 10:36, technicien hahd a écrit :
>> [2]: http://www.libressl.org/
>
> Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^


This page scientifically designed to annoy web hipsters. Donate now
 to stop the Comic Sans
and Blink Tags


:-)

mh

>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Guillaume Tournat]

C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire, j'ai 
décroché direct. 


> Le 23 avr. 2014 à 04:30, Jérémie Bouillon  a écrit :
> 
> Le 22/04/2014 10:36, technicien hahd a écrit :
>> [2]: http://www.libressl.org/
> 
> Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[antoine.meillet]

Tu peux utiliser l'extension Stylish pour Firefox et faire un script de ce 
genre :

@namespace url(http://www.w3.org/1999/xhtml);

@-moz-document domain("libressl.org") {
html * {
font-family: "Arial" !important;
}
}

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Guillaume Tournat
Envoyé : mercredi 23 avril 2014 09:43
À : frnog-t...@frnog.org
Objet : [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire, j'ai 
décroché direct. 


> Le 23 avr. 2014 à 04:30, Jérémie Bouillon  a écrit :
> 
> Le 22/04/2014 10:36, technicien hahd a écrit :
>> [2]: http://www.libressl.org/
> 
> Le ComicSansMS n'aide pas à prendre la chose au sérieux ^^
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

_

Ce message et ses pieces jointes peuvent contenir des informations 
confidentielles ou privilegiees et ne doivent donc
pas etre diffuses, exploites ou copies sans autorisation. Si vous avez recu ce 
message par erreur, veuillez le signaler
a l'expediteur et le detruire ainsi que les pieces jointes. Les messages 
electroniques etant susceptibles d'alteration,
Orange decline toute responsabilite si ce message a ete altere, deforme ou 
falsifie. Merci.

This message and its attachments may contain confidential or privileged 
information that may be protected by law;
they should not be distributed, used or copied without authorisation.
If you have received this email in error, please notify the sender and delete 
this message and its attachments.
As emails may be altered, Orange is not liable for messages that have been 
modified, changed or falsified.
Thank you.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[CapsLock]

On 2014-04-23 09:42, Guillaume Tournat wrote:

C'est ignoble et illisible cette police d écriture. Je n'ai rien pu
lire, j'ai décroché direct.



C'est au moins aussi ignoble que quelqu'un qui tourne sous un OS ignoble 
ou qui a eu l'ignoble idée d'installer une police ignoble.


Vas lire la dernière ligne


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Wednesday 23 April 2014 09:42:53 Guillaume Tournat wrote:
> C'est ignoble et illisible cette police d écriture. Je n'ai rien pu lire,
> j'ai décroché direct.

Une fonctionnalité méconnue des navigateurs web te permets de 
changer/désactiver n'importe quel élément de style des pages web que tu 
visites en 1 à 3 clics.

http://www.opera.com/docs/usercss/
https://developer.mozilla.org/fr/docs/Outils/inspecteur



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Jérémie Bouillon]

Le 23/04/2014 11:50, technicien hahd a écrit :

Une fonctionnalité méconnue des navigateurs web te permets de
changer/désactiver n'importe quel élément de style des pages web que tu
visites en 1 à 3 clics.


Une autre fonctionnalité obscure a le même effet, plus rapidement : 
fermer l'onglet.


Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait 
pas l'effet escompté par ces braves gens.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Simon Perreault]

Le 2014-04-23 09:11, Jérémie Bouillon a écrit :
> Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait
> pas l'effet escompté par ces braves gens.

Au contraire, ça marche parfaitement, comme ton expérience en témoigne.

Simon


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Wednesday 23 April 2014 09:14:42 Simon Perreault wrote:
> Le 2014-04-23 09:11, Jérémie Bouillon a écrit :
> > Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait
> > pas l'effet escompté par ces braves gens.
> 
> Au contraire, ça marche parfaitement, comme ton expérience en témoigne.
> 
> Simon
> 

Exactement! 

Je n'avais jamais fait de donation à openBSD (honte sur moi qui utilise 
openSSH quotidiennement) jusqu'à aujourd'hui, mais voir tous ces gens avec un 
balai rangé dans cet endroit où la lumière ne va pas qui se plaignent du choix 
de la police de caractères sans se rendre que compte que c'est fait exprès 
pour les ennuyer et les amener à s'auto identifier comme porteurs de balai et 
ce avec un hack tout simple, ça m'a fait franchir le pas. 

Et pourtant je ne suis pas concerné car dans mes navigateurs cette page 
s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de 
microsoft. 

Il faut croire qu'ils savent cibler leurs victimes et divertir leur population 
cible tout en travaillant sérieusement à améliorer la sécurité de tous.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Manu]

Le 23/04/2014 15:58, technicien hahd a écrit :

Et pourtant je ne suis pas concerné car dans mes navigateurs cette page
s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de
microsoft.


Exactement. À travailler sous un GNU, on n'oublie que Comic existe, 
puisqu'elle n'est pas installée :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[Guillaume Tournat]

Je n'ai de balai nul part. J'indiquais juste que la police est ignoble à lire. 
Et ces polices type Comic sans ms sont encore utilisées très sérieusement , y 
compris en entreprise. 

Maintenant, il est vrai que depuis mon smart phone à la pomme, en 3 secondes 
avec safari, je n'ai pas pu regarder le code source, ni utiliser d'inspecteur 
dom et encore moins charger une quelconque extension. 

Donc si le rendu était intentionnel, ça a très bien fonctionne. 


> Le 23 avr. 2014 à 15:58, technicien hahd  a écrit :
> 
>> On Wednesday 23 April 2014 09:14:42 Simon Perreault wrote:
>> Le 2014-04-23 09:11, Jérémie Bouillon a écrit :
>>> Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait
>>> pas l'effet escompté par ces braves gens.
>> 
>> Au contraire, ça marche parfaitement, comme ton expérience en témoigne.
>> 
>> Simon
>> 
> 
> Exactement! 
> 
> Je n'avais jamais fait de donation à openBSD (honte sur moi qui utilise 
> openSSH quotidiennement) jusqu'à aujourd'hui, mais voir tous ces gens avec un 
> balai rangé dans cet endroit où la lumière ne va pas qui se plaignent du 
> choix 
> de la police de caractères sans se rendre que compte que c'est fait exprès 
> pour les ennuyer et les amener à s'auto identifier comme porteurs de balai et 
> ce avec un hack tout simple, ça m'a fait franchir le pas. 
> 
> Et pourtant je ne suis pas concerné car dans mes navigateurs cette page 
> s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de 
> microsoft. 
> 
> Il faut croire qu'ils savent cibler leurs victimes et divertir leur 
> population 
> cible tout en travaillant sérieusement à améliorer la sécurité de tous.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [TECH] Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl

[technicien hahd]

On Wednesday 23 April 2014 20:06:47 Guillaume Tournat wrote:
> > Le 23 avr. 2014 à 15:58, technicien hahd  a écrit :
> >> On Wednesday 23 April 2014 09:14:42 Simon Perreault wrote:
> >> 
> >> Le 2014-04-23 09:11, Jérémie Bouillon a écrit :
> >>> Je crains que l'effet «annoy hipster» (assez insultant au passage) n'ait
> >>> pas l'effet escompté par ces braves gens.
> >> 
> >> Au contraire, ça marche parfaitement, comme ton expérience en témoigne.
> >> 
> >> Simon
> > 
> > Exactement!
> > 
> > Je n'avais jamais fait de donation à openBSD (honte sur moi qui utilise
> > openSSH quotidiennement) jusqu'à aujourd'hui, mais voir tous ces gens avec
> > un balai rangé dans cet endroit où la lumière ne va pas qui se plaignent
> > du choix de la police de caractères sans se rendre que compte que c'est
> > fait exprès pour les ennuyer et les amener à s'auto identifier comme
> > porteurs de balai et ce avec un hack tout simple, ça m'a fait franchir le
> > pas.
> > 
> > Et pourtant je ne suis pas concerné car dans mes navigateurs cette page
> > s'affiche en Deja Vu Sans, faute d'utiliser un système d'exploitation de
> > microsoft.
> > 
> > Il faut croire qu'ils savent cibler leurs victimes et divertir leur
> > population cible tout en travaillant sérieusement à améliorer la sécurité
> > de tous.
> > 
>
> Je n'ai de balai nul part. J'indiquais juste que la police est ignoble à
> lire. Et ces polices type Comic sans ms sont encore utilisées très
> sérieusement , y compris en entreprise.
> 
> Maintenant, il est vrai que depuis mon smart phone à la pomme, en 3 secondes
> avec safari, je n'ai pas pu regarder le code source, ni utiliser
> d'inspecteur dom et encore moins charger une quelconque extension.
> 
> Donc si le rendu était intentionnel, ça a très bien fonctionne.
> 

Mon histoire de balai ne t'était pas destinée personnellement, toutes mes 
excuses si itu l'as pris pour toi, c'est vrai que formulé comme je l'ai dit et 
sans préciser le contexte ça prétait à confusion.

J'avais déjà rempli mon chèque avant de lire ton message et je faisais 
référence globalement à tous les commentaires que j'ai pu voir sur les sites 
qui rapportent l'info, de hacker news à linuxfr.

Comic Sans est une police qui polarise fort les opinions, c'est bien connu 
mais les réactions engendrée sont disproportionnée par rapport à la gravité du 
problème, ça prends moins de temps de la désactiver ou de la supprimer que 
d'écrire un message pour s'en plaindre sur internet. 

En tout cas sur moi ça a marché et ça leur a rapporté 20$


---
Liste de diffusion du FRnOG
http://www.frnog.org/