Et l'impensable arriva
Grosse faille de sécurité découverte dans OpenSSL cette nuit !
Cette nuit, le service de sécurité de Google a révélé l'existance d'une vulnérabilité au sein de la bibliothèque OpenSSL. L'exploitation de cette faille permet entre autre de récupérer la clé privée de chiffrement du serveur. Ce qui a pour effet immédiat de compromettre toutes les communications en cours et futures entre les clients et le serveur. L'attaque peut également être dirigée contre un client pour lui dérober sa clé privée et compromettre ainsi la confidentialité de ses communications avec certains serveurs. En clair, les informations chiffrées circulant sur le réseau sont récupérables... en clair.
Plus d'infos sur la CVE-2014-0160 :
- http://heartbleed.com/
- https://www.openssl.org/news/secadv_20140407.txt
- https://bugzilla.redhat.com/show_bug.cgi?id=1084875
Upgradez votre paquet openssl, c'est urgent
Fedora 20 et 19 sont concernées par la faille car elles fournissent la version d'OpenSSL contenant cette faille. Dennis Gilmore (proven packager) a reconstruit le paquet avec le correctif, et la communauté a déjà poussé le paquet dans le dépôt Updates Stable en passant par fedora-easy-karma. Il se peut que le paquet ne soit pas présent sur votre miroir local. Il ne faut pas attendre qu'il le soit. Vous pouvez dès à présent installer le paquet directement depuis l'infrastructure de construction de fedora (Koji) avec ce qui suit :
yum install koji
koji download-build --key=246110c1 --arch=x86_64 openssl-1.0.1e-37.fc20.1
yum install openssl-1.0.1e-37.fc20.1.x86_64.rpm openssl-libs-1.0.1e-37.fc20.1.x86_64.rpm
Remplacez x86_64 par i686 ou armv7hl selon votre architecture.
Quelle est l'issue de l'histoire ?
La faille est corrigée certes, GNU/Linux gagne toujours à la fin (en moins de 6 heures après divulgation, tout de même). Mais depuis tout le temps qu'elle ne l'est pas, qu'est-ce qui prouve que la clé privée de certificats x509, de casperlefantom.net par exemple, n'a pas été compromise ? Rien.
Je parle ici du certificat servant à chiffrer la connexion, et non-pas du CA qui n'est pas présent sur le serveur. La solution pour les administrateurs est donc de générer une nouvelle clé privée, reconstruire un CSR (Certificate Signing Request), puis de le faire signer par son CA.
Pour ma part, tout ça sera fait dans quelques heures...