Forum

Salut

ce coup-là c'est du lourd.
http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html

Ca vaut le coup de tester les sites sur lesquels on a des données sensibles (CB et autres) avec
http://filippo.io/Heartbleed/


On n'a pas fini d'en entendre parler.
http://heartbleed.com/
Voir en particulier
What versions of the OpenSSL are affected?
How about operating systems?

Bruno

Ps: Sur Mageia 3 openssl est vulnérable avec une version OpenSSL 1.0.1e 11 Feb 2013
Reste à avoir le patch .... pour l'instant je ne trouve pas. Merci de signaler si vous avez du neuf.
On ne peut pas juste virer openssl, trop de paquetages en dépendent. Sauf si vous avez une idée.

Édité par lcb1 Le 09/04/2014 à 10h21

Salut,

En tout cas, le serveur de MLO (qui n'est pas sous Mageia) est corrigé et sans faille.

Certains certif. SSL auto-signés sont en service.

Merci

Hi Xko

c'est tout apache qui est touché ... Reste à attendre des news de Mageia-Mandriva-Rosalab

Salut,

On ne parle pas de la même chose, il s'agit de la version de OpenSSL 1.0.1f (et version antérieure pour ceux qui ne font jamais de mise à jour) et OpenSSL 1.0.2-beta1 or la version installée sur la machine de MLO est en 1.0.1g fraichement mis à jour hier ou avant hier.

Apache appelle OpenSSL via un module qui est chargé sur le serveur de MLO mais pas directement Apache : le pauvre, il n'y est pour rien lui

Merci

C'est sûr.
Tu penses qu'on aura une maj bientôt pour Mageia ?

Très franchement je ne sais pas comment ça affecte nos machines, je n'utilise pas openssl en tant que serveur, mais apparemment ça touche pas mal d'applications côté "user"

Je viens de recevoir un lien de mandriva pour le patch

Édité par lcb1 Le 09/04/2014 à 10h41

Salut,

Généralement des failles aussi critiques sont corrigés rapidement, donc il faut juste que le packageur qui maintient OpenSSL sur Mageia soit disponible.

C'est un paquet / application assez standard qu'il faut juste changer de version, donc pas de panique (don't panic ! comme dirait le voyageur galactique), ça va venir.

Merci

Okaye no panic then,

De toutes façons, depuis deux ans que ça dure on peut bien attendre encore un moment

ça serait pas ça openssh-6.2p2-3.2.mga4 :
http://svnweb.mageia.org/packages?view=revision&revision=612791

Édité par Aranud Le 09/04/2014 à 14h37

Salut,







Non là tu parles de OpenSSH et la faille est sur OpenSSL (gestion des certificats et des httpS://www.monsite.fr) ce n'est pas la même chose



Merci

OpenSSL a été mis à jour sur le PC d'un ami hier, via le CCM.

On en a parlé à l'association COAGUL et quand il a vérifié les mises à jour dans le CCM, libopenssl était la

Elle etait dispo des hier aprem: http://advisories.mageia.org/MGASA-2014-0165.html

Ha ba j'ai bien reçu ça via mon abonnement mandriva ce matin, mais comme je suis un peu demeuré je ne vois pas comment télécharger le truc,; les liens tournent en rond. En tous cas rien du côté rpmdrake ça c'est sûr. Donc si vous avez un lien direct ... nous sommes preneurs.

Paece que s'il a fallu deux ans pour prendre conscience de la faille, maintenant qu'elle est rendue publique, ça change tout.

Édité par lcb1 Le 09/04/2014 à 19h30

Mandriva ? pardon ?

sinon ftp://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/distrib/4/i586/media/core/updates/openssl-1.0.1e-8.2.mga4.i586.rpm
sauf que c'est surement pas le seul rpm.

Bref vérifier vos dépôt (au pire en les enlevant/remettant)