|
sécurité
Une vulnérabilité critique de Debian et Ubuntu
Une mise à jour est disponible pour ces deux distributions Linux, permettant de corriger une erreur de programmation qui rendait trop prédictibles les clés de sécurité générées.
Ludovic Nachury,
01net., le 16/05/2008 à 16h20
|
Des nombres aléatoires trop peu aléatoires. C'est ce que généraient plusieurs des principales distributions Linux, mettant ainsi en danger les clés de sécurité créées par ces systèmes.
L'alerte provient de l'équipe d'Ubuntu. Les développeurs chargés de cette distribution ont expliqué qu'une faille dans le code OpenSSL de Debian avait été repérée. Debian servant de socle à Ubuntu, ce système d'exploitation et ses
déclinaisons (Edubuntu, Kubuntu, etc.) souffraient donc de la même vulnérabilité.
Selon Securityfocus.com, la vulnérabilité serait due à la correction trop hâtive d'un autre bug de l'OpenSSL. Depuis, explique-t-on chez Ubuntu, les clés de cryptage générées par le système étaient devenues trop prévisibles par les
pirates. Chez Ubuntu comme chez Debian, des patchs sont proposés pour corriger cette vulnérabilité.
Auditer toutes les clés
Une vérification un peu plus approfondie sera sans doute nécessaire. Comme l'explique le blogueur réputé sur les questions de sécurité
HD Moore,
c'est l'ensemble des clés SSL et SSH générées par des systèmes Debian/Ubuntu/... entre septembre 2006 et le 13 mai 2008 qui peut être deviné. Le
blogueur conseille d'ailleurs de recréer les clés SSL et de les renvoyer aux autorités de certification. Il prévient que
« tous les administrateurs système qui autorisent l'accès à leur serveur par des clés SSH et des clés
d'authentification publiques doivent auditer ces clés pour vérifier si elles ont été créées sur un système vulnérable ».
