Bug critique dans le paquet Debian OpenSSL

[tomtom]

http://lists.debian.org/debian-security ... 00152.html

Attention, cela semble assez critique, surtout si comme moi vous avez construit une PKI "maison" sur openSSL sur une Debian.

Je regarde pour évaluer tous les impacts, mais à peremière vue je suis bon pour regénérer tous les certificats depuis 2006, autant dire à rebpatir la PKI de 0


La maison Debian en prend un coup dans mon estime


t.

[antolien]

salut tomtom,

je suis content de ne pas encore être passé en etch pour la production.
Mais bon il faudra le faire un jour...

[Corsicabia]

Bonjour

Deux petites questions :
- IPCop est-il touché aussi ?
- J'ai systèmatiquement mis sur mes clés ssh une paraphrase de sécurité. On ne peut se connecter aux IPCops QUE avec la clé ET la paraphrase ET avec un compte limité (pas en root, pas avec mdp, etc...)

Y-a-t-il un risque important quand même ?

Amitiés de Corse

[antolien]

C'est spécifique a Debian(et distributions basées dessus comme UBUNTU) , sur le paquage openssl version 0.9.8c et superieur. car un patch spécifique est utilisé pour le random générator.

IPcop et autres distributions (SME, Redhat, etc) ne sont pas touchées.
cf
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

[Corsicabia]

Pour Antolien :

Merci beaucoup pour la réponse. Je suis tout à coup plus rassuré

Amitiés de Corse