Le 13 Mai 2008

Vulnérabilité Debian OpenSSL

Le 13 Mai 2008, le projet Debian a annoncé qu'une mise à jour du pack OpenSSL de 2006 contient une vulnérabilité qui peut affaiblir le génerateur aléatoire, rendant le cryptage et l'authentification SSH et SSL prévisibles. La vulnérabilité concerne seulement le Debian et ne touche pas les systèmes n'opérant pas sur Debian. Toutefois, un système non-Debian peut être affecté s'il utilise une clé cryptographique touchée par un système Debian.

Debian a mis à disposition un correctif, afin de prévenir une éventuelle vulnérabilité; notez que celui-ci n'enlèvera pas les occurences précédentes. Donc pour les systèmes Debian commençant à la version 0.9.ec-1, il est hautement recommandé de recréer du départ tous documents de clé cryptographique générés avec OpenSSL. Pour plus d'informations sur la vulnérabilité et sur le correctif, merci de suivre les conseils de sécurité Debian DSA-1571-1.

Pour corriger le problèmes, suivez les étapes suivantes :

1. Téléchargez et Installez le correctif Debian fourni par le groupe de sécurité Debian DSA-1571-1.

2. Remplacez tous les Certificats SSL, GeoTrust® fournis. La révocation et le remplacement des Certificats SSL peut etre faite gratuitement pendant une durée limitée, pour les clients de GeoTrust® affectés par cette vulnérabilité. Quand vous générez la nouvelle Demande de Signature de Certificat (CSR), il est important de vous assurer que les informations du certificat (Distinguished Name) sont identiques aux informations du certificat existant.

3. Si vous avez un Certificat SSL RapidSSL®, GeoTrust® ou Thawte® , merci de vous rendre sur le site Internet GeoTrust® en cliquant ici pour utiliser l'Assurance Émission gratuitement.

4. Si vous n'êtes pas sûr d'être affecté, Cliquez ici pour utiliser le détecteur de clé faible publié par Debian.

Note : L'Assurance Émission gratuite ne sera accordée qu'aux clients affectés.