mardi 8 avril 2014

Et l'impensable arriva

Grosse faille de sécurité découverte dans OpenSSL cette nuitheartbleed.png

Cette nuit le service de sécurité de Google a révélé l'existance d'une vulnérabilité au sein de la bibliothèque OpenSSL. L'exploitation de cette faille permet entre autre de récupérer la clé privée de chiffrement du serveur, ce qui a pour effet immédiat de compromettre toutes les communications en cours et futures entre les clients et le serveur. L'attaque peut également être dirigée contre un client pour lui dérober sa clé privée et compromettre ainsi la confidentialité de ses communications avec les serveurs. En clair les informations chiffrées circulant sur le réseau sont récupérables... en clair.

Plus d'infos sur la CVE-2014-0160 :

Upgradez votre paquet openssl, c'est urgent

Fedora 20 et 19 sont concernées par la faille car elles fournissent la version d'OpenSSL contenant la faille. Dennis Gilmore (proven packager) a déjà reconstruit le paquet avec le correctif, et la communauté a déjà poussé le paquet dans le dépôt Updates Stable par le biais de fedora-easy-karma. Il se peut que le paquet ne soit pas présent sur votre miroir local, à l'heure où j'écris ces lignes il ne l'est pas. Il ne faut pas attendre qu'il le soit. Vous pouvez dès à présent installer le paquet directement depuis l'infrastructure de construction de fedora (Koji) avec ce qui suit :

yum install koji
koji download-build --key=246110c1 --arch=x86_64 openssl-1.0.1e-37.fc20.1
yum install openssl-1.0.1e-37.fc20.1.x86_64.rpm openssl-libs-1.0.1e-37.fc20.1.x86_64.rpm

Remplacez x86_64 par i686 ou armv7hl selon votre architecture.

Quelle est l'issue de l'histoire ?

La faille est corrigée certes, GNU/Linux gagne toujours à la fin (en moins de 6 heures après divulgation tout de même). Mais depuis tout le temps qu'elle ne l'est pas qu'est-ce qui prouve que la clé privée de certificats, de casperlefantom.net pour ne citer que lui, n'a pas été compromise ? Rien. (Attention je parle uniquement du certificat servant à chiffrer la connexion, et non pas du CA qui n'est pas présent sur le serveur de toutes façons). Une solution pour les administrateurs de serveurs est donc de générer une nouvelle clé privée de certificats, reconstruire un CSR puis le refaire signer par son CA. Je pense que ça serait la moindre des choses par respect pour les visiteurs. Ce sera fait dans quelques heures pour ma part.

mardi 25 mars 2014

Mutt et les signatures PGP d'Enigmail

mutt.png

Une petite remarque sur la configuration par défaut de Mutt. Je ne sais pas si vous recevez beaucoup de mails en provenance de Thunderbird, mais lorsque le mail est signé par PGP, dans Mutt il n'est pas considéré comme un email signé. Du coup Mutt n'invoque pas automatiquement la commande de  […]

Lire la suite

samedi 15 mars 2014

Adhésion à l'April

jeudi 27 février 2014

Advanced Intrusion Detection Environment (AIDE)

Système de sécurité HIDS AIDE est un système de détection de l'intègrité de l'hôte (HIDS: Host Integrity Detection System). La machine hôte contient un système de fichier qui permet de faire fonctionner le système d'exploitation. Les fichiers vitaux du système d'exploitation sont principalement la  […]

Lire la suite

mardi 25 février 2014

Checkdns 0.5-15

Introduction La chronique continue, avec cette fois-ci la mise à jour d'un paquet que je viens de récupérer du dépôt. Son propriètaire précédent ne montrant plus signe de vie, ses paquets sont devenus "orphelins" et sont automatiquement retirés du dépôt s'ils ne trouvent pas un nouveau  […]

Lire la suite

samedi 22 février 2014

Poezio 0.8-1

Cette nuit vient de sortir la version 0.8 tant attendue. Cette version majeure succède à la précédente sortie stable 0.7.5 datant de plus de deux ans, même si le dépôt GIT continuait d'avoir une certaine activité régulière. Au niveau des nouveautés je vous invite à lire le post d'un des  […]

Lire la suite

dimanche 19 janvier 2014

Easybashgui 10.0.0

Introduction Cet article inaugure une petite chronique dont l'idée m'est apparue pendant l'exécution de tâches répétitives (ie: mon travail IRL). J'ai en effet réalisé que le Web foisonne d'éléments pour la construction initiale de paquets RPM, d'ordre théorique (wikis, documentations...) et d'ordre  […]

Lire la suite

Proxy SOCKSv5 via SSH

C'est non-pas sans une certaine émotion que j'ai le plaisir d'annoncer aux personnes ayant un compte SSH sur mon serveur, qu'elles peuvent utiliser mon serveur comme Proxy pour n'importe quel navigateur supportant le protocole SOCKS version 5. En réalité j'ai rien fait. J'ai juste trouvé/testé par  […]

Lire la suite

dimanche 24 novembre 2013

Poezio, c'est magique. Vraiment.

poezio-room-fedora.png

À la recherche d'un client XMPP en console afin de pouvoir l'utiliser dans un multiplexeur de terminal (Tmux), j'ai découvert grâce au bouche à oreille ce très méconnu logiciel, qui comme la plupart des artistes peu connus, est l'un des meilleurs que j'ai jamais eu l'occasion de tester. Son design  […]

Lire la suite

samedi 23 novembre 2013

Fedora selon Linux-Libre

Il y a quelques jours j'ai pris la liberté de construire un livecd de fedora 19 un peu spécial afin de tester du matériel avant achat. En effet ce live ne contient aucun firmware sous license fermée, remplacés par des firmwares libres, et aussi un noyau modifié de telle sorte qu'il ne puisse charger  […]

Lire la suite

- page 1 de 5