OVH Community, votre nouvel espace communautaire.

Correction faille openssl


NouveauEnVille
12/04/2014, 11h38
Citation Envoyé par Gilles75
la commande 'openssl version -b' donne :

built on: Tue Apr 8 08:49:19 UTC 2014

Donc c'est bon.
Oui, c'est ça, impec!

Gilles75
12/04/2014, 10h23
la commande 'openssl version -b' donne :

built on: Tue Apr 8 08:49:19 UTC 2014

Donc c'est bon.

Merci de vos réponses.

G

NouveauEnVille
12/04/2014, 08h50
Debian ne fournit pas les toutes dernières versions dans ses packages. Ils avancent à leur rythme, et quand une faille est détectée, ils patchent "leur" version actuelle. C'est pour ça que ça reste du 1.0.1 "e" et pas "g".

ps: on peut toujours installer manuellement la toute dernière version depuis le site de OpenSSL.

laurentm
12/04/2014, 08h43
Après application de patch de sécurité, il semble que l'info de la version affichée ne veut pas dire grand chose en elle-même.
Il faut se fier plutôt à la date du module et taper dans un terminal :

openssl version -b

Si la date est d'avril 2014, le module est à jour. Ensuite, c'est bien d'utiliser divers site de test de la vulnérabilité pour vérifier son serveur.

Gilles75
11/04/2014, 19h55
Bonsoir,

J'ai fait les mises à jour comme indiqué sur des vps debian 7 mais quand je passe 'apt-cache show openssl' il m'indique deux versions différentes à la suite dans la réponse : 7u6 ET 7u4. Je ne comprends pas... Suis-je à jour ? Merci de vos éclairages.

Package: openssl
Version: 1.0.1e-2+deb7u6
Installed-Size: 1081
Maintainer: Debian OpenSSL Team
Architecture: amd64
Depends: libc6 (>= 2.7), libssl1.0.0 (>= 1.0.1), zlib1g (>= 1:1.1.4)
Suggests: ca-certificates
Description-en: Secure Socket Layer (SSL) binary and related cryptographic tools
This package contains the openssl binary and related tools.
.
It is part of the OpenSSL implementation of SSL.
.
You need it to perform certain cryptographic actions like:
- Creation of RSA, DH and DSA key parameters;
- Creation of X.509 certificates, CSRs and CRLs;
- Calculation of message digests;
- Encryption and decryption with ciphers;
- SSL/TLS client and server tests;
- Handling of S/MIME signed or encrypted mail.

Section: utils
Priority: optional
Filename: pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u6_amd64.deb
Size: 700350


Package: openssl
Version: 1.0.1e-2+deb7u4
Installed-Size: 1081
Maintainer: Debian OpenSSL Team
Architecture: amd64
Depends: libc6 (>= 2.7), libssl1.0.0 (>= 1.0.1), zlib1g (>= 1:1.1.4)
Suggests: ca-certificates
Description-en: Secure Socket Layer (SSL) binary and related cryptographic tools
This package contains the openssl binary and related tools.
.
It is part of the OpenSSL implementation of SSL.
.
You need it to perform certain cryptographic actions like:
- Creation of RSA, DH and DSA key parameters;
- Creation of X.509 certificates, CSRs and CRLs;
- Calculation of message digests;
- Encryption and decryption with ciphers;
- SSL/TLS client and server tests;
- Handling of S/MIME signed or encrypted mail.

Tag: implemented-in::c, interface::commandline, protocol::ssl, role:rogram,
scope::utility, security::cryptography, security::integrity,
use::checking
Section: utils
Priority: optional
Filename: pool/main/o/openssl/openssl_1.0.1e-2+deb7u4_amd64.deb
Size: 699554

laurentm
10/04/2014, 22h21
Pour mon housing chez OVH (qui contient trois NAS rackables + 2 serveurs avec 15 machines virtuelles sous XenServer Free Edition pour faire tourner surtout des serveurs mails et ftp), je trouve normal qu'OVH ne se mêle pas de ce qui se passe, tant que j'envoie pas de spams.

Pour un VPS, si OVH ne pré-installe plus rien, la situation sera plus claire, mais leur offre perdra 50% de son interêt marketing vis à vis des clients "éclairés" mais pas spécialisés dans les install LAMP optimisées.

Quand on ne fait pas cela tous les jours, ces installations peuvent se révéler un peu complexes, sauf à prendre des images pré-packagées comme Bitnami ou Turnkey. Le plus gros problème est de ne pas trop charger la mule avec des modules inutiles sur un VPS entrée de gamme et on peut supposer que les solutions OVH pré-installées sont bien adaptées aux limites techniques des VM. Quand je déploie des VM en XenServer, j'affecte la mémoire vive que je veux, je choisis un disque SSD, SAS ou SATA suivant les besoins de performances, avec le VPS on doit se contenter de ce qu'OVH a prévu, il n'est pas question de customiser un maximum !

Cette fois-ci, on n'a pas été sur une légende urbaine comme le bug de l'an 2000, mais sur une faille qui remettait en question la confiance du grand-public vis à vis du commerce électronique et de la sécurité informatique en général. Ceci arrivant après les scandales dévoilés par WikiLeaks, on pourrait imaginer qu'une société comme OVH, une des seules dans ce secteur qui ait mis l'éthique en avant, pourrait sortir de sa tour d'ivoire pour aider ses clients à colmater les brèches au plus vite.

C'est d'autant plus décevant que ses annonces tonitruantes d'offres d'hébergement web dernier cri se succèdent dans les médias, mais à quoi peuvent servir des hébergements si ce sont des passoires ?

Nowwhat
10/04/2014, 09h20
Citation Envoyé par laurentm
Non OVH ne me loue pas un hardware nu, puisque j'ai une pré-installation de Prestashop faite par OVH (c'est quand même dans le but de simplifier le travail pour les clients) et beaucoup de gens ont un Joomla, Drupal, ou Wordpress pré-installé sur leur VPS. Je ne demande pas à OVH de faire le travail de mise à jour à ma place, mais d'être "pro-actif". Le certificat SSL je l'ai installé moi-même, mais je ne trouve pas normal de découvrir par la presse un bug aussi grave, qui dépasse tout ce qu'on a pu trouver ces dernières années. Ca ne coûterait pas grand chose à OVH de communiquer sur Heartbleed et de donner les liens pour tester son installation. Une bonne partie des clients VPS gagnerait du temps, au lieu d'aller piocher les infos sur le web.
Intéressant de retrouver les noms de ces trois CMS. Ajoute aussi les noms de toutes les OS que OVH préinstalle, puis .... Il faut que je trouve le post d'Oles sur ce forum qui nous informe que: la pré-installation d'un 'logiciel' non édité par OVH n'implique pas une responsabilité d'OVH. Ce qu'on installe sur son hébergement ou son serveur: ça nous regarde.
Ceci est valable pour les produits Mutu (simple) jusqu'à des structures vrack, cluster, etc.

De temps en temps OVH push l'information sur leur site www.ovh.com ou Twitter si une faille ou attaque DDOS concerne leur réseau entier, par exemple, les attaques NTP récemment pour 'forcer' les gens de mettre à jour leur services, ou de vérifier le paramétrage. OVH fait ça pour protéger leur infra structure, pas pour 'aider' l'admin d'un site. SI OVH détecte qu'on admin ne fait pas son boulot, il y aura un mail 'personnalisée qui indique que OVH COUPE le serveur du client .....

D'ailleurs: faut-il conclure que Microsoft n’utilise pas le code de OpenSSL ? Que ces millions d'applications sur "PC" n'ont pas de 'OpenSSL' ?
T'en a vu UN qui t'as envoyé un mail ?
Moi: non. pour autant, je compte dans mon parc de PC's plus de 9 PC's, 2 serveurs 2008R2, 60+ licences (valeur: env 28000 € h.T.)
Zéro notifications reçues.

Note que je ne suis pas contre le fait qu'un hébergeur assiste plus la locataire avec les produits qu'il installe. Loin de là.
Mais .... OVH a été créé car il existe déjà des hébergeurs avec un service plus que parfait de ce côté-là, mais il existé une clientèle qui en ont pas besoin. L'avantage en prime: OVH est moins cher ..... car xx tonnes de logistique en moins.

Je reste partisan de mouvement qui stipule que OVH ne pré-installe PLUS RIEN.
Ça rendra les choses beaucoup plus claires. Ça oblige bien sur le client à s'investir un peu plus lui-même.
Je pars d’un principe que:
OVH s'occupe de mon serveur (carte mère, disque dur, alim, Ethernet)
Debian => mon OS, c'est chez Debian
postfix, mon serveur mail => www.postfix.org
Mon CMS : => le site de support de mon CMS.
Puis, ma bagnole, un Renault, et bien, je vais chez Renault, pas Citroën.

Sache que je ne suis pas en désaccord avec toi, mais que depuis des années je pense comprendre comment OVH opère. J'ai vu les questions, et leurs réponses. Chez OVH, il faut mieux assurer le support de ces logiciels soi-même. C'est plus sur

laurentm
10/04/2014, 08h26
Citation Envoyé par Nowwhat
Nuance: ce mot de passes ont été 'ramassé' sur les serveurs d'OVH ....

Ton VPS n'a rien de spécial. OVH te loue un appareil 'hardware'. Un VPS est comme un dédié, avec un partage des disques durs.

Ce bug est spécial car il existé déjà longtemps - et utilisé par beaucoup des programmes, OS, etc.
Normalement, t'es sensé de savoir ce qui ce passe avant OVH, car si tu utilise programme X (OS Y) t'as déjà un abonnement sur leur (X et Y) lettre de notification (email, twitter, RSS, etc).

Peut être t'utilise même pas les bibliothèques d'OpenSSL
Non OVH ne me loue pas un hardware nu, puisque j'ai une pré-installation de Prestashop faite par OVH (c'est quand même dans le but de simplifier le travail pour les clients) et beaucoup de gens ont un Joomla, Drupal, ou Wordpress pré-installé sur leur VPS. Je ne demande pas à OVH de faire le travail de mise à jour à ma place, mais d'être "pro-actif". Le certificat SSL je l'ai installé moi-même, mais je ne trouve pas normal de découvrir par la presse un bug aussi grave, qui dépasse tout ce qu'on a pu trouver ces dernières années. Ca ne coûterait pas grand chose à OVH de communiquer sur Heartbleed et de donner les liens pour tester son installation. Une bonne partie des clients VPS gagnerait du temps, au lieu d'aller piocher les infos sur le web.

Moof26
10/04/2014, 08h14
Citation Envoyé par Nowwhat
Moof46: je pense que j'ai une bonne et mauvaise nouvelle pour toi.

La mauvaise: ta question n'existe pas car tu tire les mauvaises conclusions.

J'ai eu hier un annonce de mon serveur que le mise à jour de ce bug 'SSL' été prêt:

Or, sur ce même forum, aujourd'hui, dans le mâtiné, on m'’annonce encore une mise à jour - même paquets, autre version (le deb7u6), que j'ai installé.

Il y a eu donc une vague de deux mise à jours, les mêmes paquets.

Bonne nouvelle : je paris que t'as justement changé tes apt-get sources, et t'as tiré la conclusion que le premier été pas bon .... or, il s'agit d'un hasard pur que ça arrive que les même paquets ressort encore une fois en mise en jour.

Je présume le :"tout va bien" !
Je ne pense pas, hier matin (mercredi 9, donc, après la mise à disposition des 2 mises à jour), j'avais encore la version deb7u4 du paquet alors que je m'acharnais à faire et à refaire des mises à jour. Jusqu'à ce que je change mes sources.

Nowwhat
10/04/2014, 07h28
Citation Envoyé par laurentm
OVH avait prévenu ses clients d'une attaque sur les mots de passe de ses serveurs il y a plus d'un an...
Nuance: ce mot de passes ont été 'ramassé' sur les serveurs d'OVH ....

Citation Envoyé par laurentm
Cette fois-ci, on ne reçoit aucun mail d'avertissement concernant Heartbleed, même si l'on a un VPS chez eux. C'est léger, et décevant !
Ton VPS n'a rien de spécial. OVH te loue un appareil 'hardware'. Un VPS est comme un dédié, avec un partage des disques durs.

Ce bug est spécial car il existé déjà longtemps - et utilisé par beaucoup des programmes, OS, etc.
Normalement, t'es sensé de savoir ce qui ce passe avant OVH, car si tu utilise programme X (OS Y) t'as déjà un abonnement sur leur (X et Y) lettre de notification (email, twitter, RSS, etc).

Peut être t'utilise même pas les bibliothèques d'OpenSSL

laurentm
09/04/2014, 23h29
OVH avait prévenu ses clients d'une attaque sur les mots de passe de ses serveurs il y a plus d'un an...

Cette fois-ci, on ne reçoit aucun mail d'avertissement concernant Heartbleed, même si l'on a un VPS chez eux. C'est léger, et décevant !

Nowwhat
09/04/2014, 16h13
Moof46: je pense que j'ai une bonne et mauvaise nouvelle pour toi.

La mauvaise: ta question n'existe pas car tu tire les mauvaises conclusions.

J'ai eu hier un annonce de mon serveur que le mise à jour de ce bug 'SSL' été prêt:
The following packages are currently pending an upgrade:

libssl1.0.0 1.0.1e-2+deb7u5
libssl-dev 1.0.1e-2+deb7u5
libssl-doc 1.0.1e-2+deb7u5
openssl 1.0.1e-2+deb7u5
Or, sur ce même forum, aujourd'hui, dans le mâtiné, on m'’annonce encore une mise à jour - même paquets, autre version (le deb7u6), que j'ai installé.
~# apt-cache show openssl
Package: openssl
Version: 1.0.1e-2+deb7u6
Installed-Size: 1074
Maintainer: Debian OpenSSL Team
Architecture: i386
Depends: libc6 (>= 2.7), libssl1.0.0 (>= 1.0.1), zlib1g (>= 1:1.1.4)
Suggests: ca-certificates
...
Il y a eu donc une vague de deux mise à jours, les mêmes paquets.

Bonne nouvelle : je paris que t'as justement changé tes apt-get sources, et t'as tiré la conclusion que le premier été pas bon .... or, il s'agit d'un hasard pur que ça arrive que les même paquets ressort encore une fois en mise en jour.

Je présume le :"tout va bien" !

FunMega
09/04/2014, 14h47
certes "gaboul49" !
mais cela peut néanmoins aider certaines personnes.
Voir ce tuto, je pense que ceux qui l'ont écrit, connaissent bien le sujet.

Moof26
09/04/2014, 13h08
Citation Envoyé par gaboul49
@FunMega : Tout le monde n'a pas besoin de contrib et non-free ! Surtout sur un serveur
Effectivement

Mais de toute façon, le problème des sources est à présent réglé. Je reste néanmoins intéressé de comprendre pourquoi les sources que j'utilisais jusqu'à présent, à savoir :
deb http://debian.mirrors.ovh.net/debian/ wheezy main
deb-src http://debian.mirrors.ovh.net/debian/ wheezy main
deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main,
ne permettait pas de récupérer la dernière version d'openssl.

Si quelqu'un pouvait m'éclairer, parce que là j'ai un peu l'impression de ne pas du tout maîtriser les concepts de base de la mise à jour d'un serveur :S

gaboul49
09/04/2014, 12h47
@FunMega : Tout le monde n'a pas besoin de contrib et non-free ! Surtout sur un serveur

FunMega
09/04/2014, 10h56
Bonjour,

voici le "sources.list" utilisé sur mes serveurs, aucun problème de mise à jour depuis la modification de celui-ci

Code:
deb http://debian.mirrors.ovh.net/debian/ wheezy main contrib non-free
deb-src http://debian.mirrors.ovh.net/debian/ wheezy main contrib non-free

deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free

deb http://ftp.de.debian.org/debian/ wheezy-updates main contrib non-free
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main contrib non-free
Vous pouvez aussi utiliser ce "sources.list" si vous le souhaitez

Code:
deb http://ftp.de.debian.org/debian/ wheezy main contrib non-free
deb-src http://ftp.de.debian.org/debian/ wheezy main contrib non-free

deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free

deb http://ftp.de.debian.org/debian/ wheezy-updates main contrib non-free
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main contrib non-free

Moof26
09/04/2014, 09h43
Bon, au final, j'ai réussi à régler le problème. Mais je suis pas hyper content, je me rends compte que mon VPS n'était pas du tout à jour à cause des sources.
Si ça peut aider, voici l'explication :

Par défaut, lors de l'installation du VPS par ovh le fichier /etc/apt/sources.list contient (sur mon VPS en tout cas) :
Code:
deb http://debian.mirrors.ovh.net/debian/ wheezy main
deb-src http://debian.mirrors.ovh.net/debian/ wheezy main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
J'ai remplacé ces lignes par :
Code:
deb http://http.debian.net/debian wheezy main
deb-src http://http.debian.net/debian wheezy main

deb http://http.debian.net/debian wheezy-updates main
deb-src http://http.debian.net/debian wheezy-updates main

deb http://security.debian.org/ wheezy/updates main
deb-src http://security.debian.org/ wheezy/updates main
Puis j'ai lancé les mises à jour des paquets.. pour me rendre compte qu'il y avait openssl, mais aussi libssl et tzdata (ça sert à quoi ce truc ?) à mettre à jour.

Honnêtement, je ne comprends pas pourquoi la première version du fichier sources.list ne permettait pas de récupérer la dernière version d'openssl. Si quelqu'un pouvait m'expliquer ce qu'il s'est passé, ça m'aiderait à progresser

Moof26
09/04/2014, 09h07
Après un apt-cache show openssl, je constate que j'ai la version 1.0.1e-2+deb7u4 d'openssl d'installée, alors que c'est la version 1.0.1e-2+deb7u6 qui corrige la faille.
Pourquoi le apt-get upgrade n'a pas upgradé le paquet openssl sur mon VPS ?

Je précise que je suis sous Debian 7.

Moof26
09/04/2014, 08h56
Bonjour,

Comme vous le savez sûrement, une faille a été découverte qui, si j'ai bien compris, permet de décrypter les échanges en https.
https://www.openssl.org/news/secadv_20140407.txt

J'ai donc tout de suite fait un p'tit apt-get update, apt-get upgrade sur mon VPS. Puis je l'ai redémarré.

Je suis ensuite allé ici pour tester si mon serveur était toujours vulnérable ou non. Et il semble que oui... Je sèche un peu.

Savez-vous si ce site web est fiable pour savoir si la vulnérabilité est toujours présente ou non ? Y-a-t-il d'autres actions à entreprendre que la mise à jour du paquet et le redémarrage du serveur ?

Merci !