Thomas Martin I/O

Programming, Sysadmin, Open Source

Faille OpenSSL/Debian

2008-05-13 SYSADMIN SECURITY DEBIAN OPENSSH


En réponse à la faille critique DSA-1571 parue aujourd'hui.

Voici un résumé rapide de certaines opérations urgentes à effectuer (liste non exhaustive). Pour plus d'informations vous pouvez consulter la page dédiée sur wiki.debian.org.

Mettre à jour le système :

aptitude update && aptitude upgrade

Regénerer la clé du serveur OpenSSH :

ssh-keygen -f /etc/ssh/ssh_host_rsa_key -N '' -t rsa
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -N '' -t dsa
/etc/init.d/ssh restart

Regénerer vos propres clés (A faire sur un système à jour bien sûr).

Supprimer les clés utilisateurs impactées. Un script fourni par Debian permet de les détecter : http://security.debian.org/project/extra/dowkd. Attention l'auteur signale que celui-ci peut donner des faux positifs ou des faux négatifs.

Ensuite vous pouvez lancer par exemple :

for i in /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys; do
    perl ./dowkd.pl file $i
done

Regénerer vos certificats SSL, pour votre serveur mail, web, VPN,...