Il y a 7 ans de cela, je disais adieu à Debian de manière quasi définitive pour la première fois. Pourquoi rompre une relation qui tenait bon an mal an depuis trois ans ? Une mise à jour de sécurité d’OpenSSL visiblement mal testée qui avait foutu tout mon système en l’air. S’ensuivit un déménagement vers les terres plus conviviales de Slackware avec quelques incursions ici et là dans le monde de FreeBSD. Depuis deux ans, retour progressif dans l’univers Debian, jusqu’à hier, et cette alerte de sécurité reçue dans ma boite mail. Si vous ne comprenez pas, passez à la suite.

Luciano Bello discovered that the random number generator in Debian’s openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a result, cryptographic key material may be guessable.

This is a Debian-specific vulnerability which does not affect other operating systems which are not based on Debian. However, other systems can be indirectly affected if weak keys are imported into them.

It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

The first vulnerable version, 0.9.8c-1, was uploaded to the unstable distribution on 2006-09-17, and has since propagated to the testing and current stable (etch) distributions. The old stable distribution (sarge) is not affected.

Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections. Keys generated with GnuPG or GNUTLS are not affected, though.

Qu’est-ce que cela signifie ? Cela signifie que depuis deux ans, tous les utilisateurs Debian (et donc Ubuntu) de par le monde utilisent des clés SSH, des certificats SSL ou OpenVPN possédant une clé de chiffrage “facilement” trouvable.

Tout ça parce que les mainteneurs Debian d’openssl, avec leurs bonnes habitudes de gestion de package, ont voulu corriger dans leur coin un bug rapporté par Valgrind, et ont incidemment sérieusement réduit les possibilités pour openssl de générer des nombres aléatoires. Je ne dirai pas mieux que Ben Laurie sur le fait de patcher directement les sources d’un paquetage sans faire remonter le correctif à la source, surtout quand on ne comprend pas tous les tenants et les aboutissants de ce qu’on fait.

Cela fait plus de 10 ans que j’entends la cohorte de fans intégristes de Debian hurler à qui mieux mieux que leur système de fonctionnement est le meilleur – et dans un sens c’est un cas d’école de management – que leur distribution est la plus stable (et la moins à jour, sic), et en tout cas la meilleure. Leur philosophie est la seule valable, et des organismes comme la fondation Mozilla n’a qu’à s’y plier ou subi leurs foudres (re sic). On pourra me dire ce qu’on voudra sur ma non participation au projet, sur sa nature communautaire, open source, sur les absences totales de garantie explicitement apportées par la GPL, ce pécher d’orgueil compromet la sécurité d’un pourcentage non négligeable des serveurs web installés sur la planète.

Quant à moi, je vous laisse, j’ai un FreeBSD à installer, je dois me plonger dans de la doc d’admin pour la première fois depuis 2003.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: