Grosse faille de sécurité découverte dans OpenSSL cette nuitheartbleed.png

Cette nuit le service de sécurité de Google a révélé l'existance d'une vulnérabilité au sein de la bibliothèque OpenSSL. L'exploitation de cette faille permet entre autre de récupérer la clé privée de chiffrement du serveur, ce qui a pour effet immédiat de compromettre toutes les communications en cours et futures entre les clients et le serveur. L'attaque peut également être dirigée contre un client pour lui dérober sa clé privée et compromettre ainsi la confidentialité de ses communications avec les serveurs. En clair les informations chiffrées circulant sur le réseau sont récupérables... en clair.

Plus d'infos sur la CVE-2014-0160 :

Upgradez votre paquet openssl, c'est urgent

Fedora 20 et 19 sont concernées par la faille car elles fournissent la version d'OpenSSL contenant la faille. Dennis Gilmore (proven packager) a déjà reconstruit le paquet avec le correctif, et la communauté a déjà poussé le paquet dans le dépôt Updates Stable par le biais de fedora-easy-karma. Il se peut que le paquet ne soit pas présent sur votre miroir local, à l'heure où j'écris ces lignes il ne l'est pas. Il ne faut pas attendre qu'il le soit. Vous pouvez dès à présent installer le paquet directement depuis l'infrastructure de construction de fedora (Koji) avec ce qui suit :

yum install koji
koji download-build --key=246110c1 --arch=x86_64 openssl-1.0.1e-37.fc20.1
yum install openssl-1.0.1e-37.fc20.1.x86_64.rpm openssl-libs-1.0.1e-37.fc20.1.x86_64.rpm

Remplacez x86_64 par i686 ou armv7hl selon votre architecture.

Quelle est l'issue de l'histoire ?

La faille est corrigée certes, GNU/Linux gagne toujours à la fin (en moins de 6 heures après divulgation tout de même). Mais depuis tout le temps qu'elle ne l'est pas qu'est-ce qui prouve que la clé privée de certificats, de casperlefantom.net pour ne citer que lui, n'a pas été compromise ? Rien. (Attention je parle uniquement du certificat servant à chiffrer la connexion, et non pas du CA qui n'est pas présent sur le serveur de toutes façons). Une solution pour les administrateurs de serveurs est donc de générer une nouvelle clé privée de certificats, reconstruire un CSR puis le refaire signer par son CA. Je pense que ça serait la moindre des choses par respect pour les visiteurs. Ce sera fait dans quelques heures pour ma part.