Gandi.net Groups

Hébergement mode expert: Debian Security Fix : OpenSSL

Vous devez être connecté pour poster de nouveaux messages. Créer un compte.

Bonjour,

Une alerte Debian vient d'être levé et ils recommandent très
fortement la mise à jour de la libopenssl et de regénérer toutes les
clés ou certificats générés avec la version précédente (RSA et
DSA).

J'ai fais cette mise à jour sur mon serveur mais j'ai remarqué qu'il y
avait des certificats et clés SSH utilisés par le gandi-agent.

Est ce qu'il est possible de les supprimer sans causer de "dommages" en
attendant?

Merci d'avance pour votre aide :)
Bonjour

Je suis aussi  dans l'attente car en cas de problèmes je ne voudrais
pas
bloquer les acces gandi qui permettent de venir sur la VM.

Mais d'un autre coté je ne veux pas trop  laisser une faille de cette
ampleur ouvert a tout le monde ...

Une réponse du support GANDI serait bienvenue !!

A+



"Kevin ROY" <kiniou@gmail.com> a écrit dans le message de
news:d519bf677ceeb6a57447ece05a4f8431@grou...
Bonjour,

Une alerte Debian vient d'etre leve et ils recommandent tres
fortement la mise a jour de la libopenssl et de regenerer toutes les
cles ou certificats generes avec la version precedente (RSA et
DSA).

J'ai fais cette mise a jour sur mon serveur mais j'ai remarque qu'il y
avait des certificats et cles SSH utilises par le gandi-agent.

Est ce qu'il est possible de les supprimer sans causer de "dommages"
en
attendant?

Merci d'avance pour votre aide :)
Au passage j'ajoutes le ticket support qui correspont des fois que
jonathan 
passerais par la !

<Ref1358538>

A+



"William SIMON" <w.simon@lelouya.com> a écrit dans le message de news: 
5b57f4ab3176a6003a93cf484066883d@groups.gandi.net...
Bonjour

Je suis aussi  dans l'attente car en cas de problemes je ne voudrais
pas
bloquer les acces gandi qui permettent de venir sur la VM.

Mais d'un autre cote je ne veux pas trop  laisser une faille de cette
ampleur ouvert a tout le monde ...

Une reponse du support GANDI serait bienvenue !!

A+



"Kevin ROY" <kiniou@gmail.com> a ecrit dans le message de
news:d519bf677ceeb6a57447ece05a4f8431@grou...
Bonjour,

Une alerte Debian vient d'etre leve et ils recommandent tres
fortement la mise a jour de la libopenssl et de regenerer toutes les
cles ou certificats generes avec la version precedente (RSA et
DSA).

J'ai fais cette mise a jour sur mon serveur mais j'ai remarque qu'il
y
avait des certificats et cles SSH utilises par le gandi-agent.

Est ce qu'il est possible de les supprimer sans causer de "dommages"
en
attendant?

Merci d'avance pour votre aide :)
Je n'ais toujours pas eu de nouvelles du support la dessus ...

Ca commence a faire un peu  long ...

A+


"William SIMON" <w.simon@lelouya.com> a écrit dans le message de news: 
9252e6842c95e2c844d4ae61a3233f30@groups.gandi.net...
Au passage j'ajoutes le ticket support qui correspont des fois que
jonathan
passerais par la !

<Ref1358538>

A+



"William SIMON" <w.simon@lelouya.com> a ecrit dans le message de news:
5b57f4ab3176a6003a93cf484066883d@groups.gandi.net...
Bonjour

Je suis aussi  dans l'attente car en cas de problemes je ne voudrais
pas
bloquer les acces gandi qui permettent de venir sur la VM.

Mais d'un autre cote je ne veux pas trop  laisser une faille de cette
ampleur ouvert a tout le monde ...

Une reponse du support GANDI serait bienvenue !!

A+



"Kevin ROY" <kiniou@gmail.com> a ecrit dans le message de
news:d519bf677ceeb6a57447ece05a4f8431@grou...
Bonjour,

Une alerte Debian vient d'etre leve et ils recommandent tres
fortement la mise a jour de la libopenssl et de regenerer toutes les
cles ou certificats generes avec la version precedente (RSA et
DSA).

J'ai fais cette mise a jour sur mon serveur mais j'ai remarque qu'il
y
avait des certificats et cles SSH utilises par le gandi-agent.

Est ce qu'il est possible de les supprimer sans causer de "dommages"
en
attendant?

Merci d'avance pour votre aide :)
William SIMON a écrit :
Je n'ais toujours pas eu de nouvelles du support la dessus ...

Ca commence a faire un peu  long ...
Bonjour William,

Je viens de vous répondre au support:

apt-get update
apt-get install libssl0.9.8 openssl openssh-blacklist openssh-client

Une fois tout ceci installé, un petit:

ssh-vulnkey -a

Vous permettra de vérifier qu'il n'y a plus aucune clé vulnérable sur

votre système :)
\o/ Jonathan
  Gandi.Net
Oui j'ai bien recu le mail !!

Merci  pour les réponses c'est effectué !!

Bonne Continuation

W.S

"Jonathan (Gandi)" <jonathan@gandi.net> a écrit dans le message de
news: 
49360fa1f4d00cd023ff3bee62269754@groups.gandi.net...
William SIMON a ecrit :
Je n'ais toujours pas eu de nouvelles du support la dessus ...

Ca commence a faire un peu  long ...
Bonjour William,

Je viens de vous repondre au support:

apt-get update
apt-get install libssl0.9.8 openssl openssh-blacklist openssh-client

Une fois tout ceci installe, un petit:

ssh-vulnkey -a

Vous permettra de verifier qu'il n'y a plus aucune cle vulnerable sur

votre systeme :)

-- 
\o/ Jonathan
 Gandi.Net

Le 20 mai 2008 à 16:07 CEST, Jonathan (Gandi) a écrit :
William SIMON a écrit :
Je n'ais toujours pas eu de nouvelles du support la dessus ...

Ca commence a faire un peu  long ...
Bonjour William,

Je viens de vous répondre au support:

apt-get update
apt-get install libssl0.9.8 openssl openssh-blacklist openssh-client

Une fois tout ceci installé, un petit:

ssh-vulnkey -a

Vous permettra de vérifier qu'il n'y a plus aucune clé vulnérable
sur

votre système :)
Merci beaucoup, je dors mieux sur mes deux oreilles maintenant :)
Pas contre sur un de mes deux serveurs j'ai tout de même un petit truc
qui m'a l'air suspect !

Avec la commande "ssh-vulnkey -a" sur un serveur il me dit qu'une clé
est compromise

COMPROMISED: 1024 ... mgt_gandi

Comment faire pour régler le problème ?

Merci beaucoup en tout cas :)

al.
Alban Maire a écrit :
Merci beaucoup, je dors mieux sur mes deux oreilles maintenant :)
Pas contre sur un de mes deux serveurs j'ai tout de meme un petit truc
qui m'a l'air suspect !

Avec la commande "ssh-vulnkey -a" sur un serveur il me dit qu'une cle
est compromise

COMPROMISED: 1024 ... mgt_gandi

Comment faire pour regler le probleme ?

Merci beaucoup en tout cas :)
Un: aptitude install openssh-server devait automatiquement blacklister 
les clés compromises.
\o/ Jonathan
  Gandi.Net
Jonathan (Gandi) a écrit :
Un: aptitude install openssh-server devait automatiquement blacklister

les cles compromises.
....suivi d'un: aptitude dist-upgrade.
\o/ Jonathan
  Gandi.Net
Le 22 mai 2008 à 10:36 CEST, Jonathan (Gandi) a écrit :
Jonathan (Gandi) a écrit :
Un: aptitude install openssh-server devait automatiquement
blacklister

les cles compromises.
....suivi d'un: aptitude dist-upgrade.
J'ai envoyé un mail au support, même réponse qu'au-dessus, ce à quoi
j'ai répondu que ça faisait belle lurette que j'avais fait ça !
Mais la mgt_gandi reste compromise.

Un indice : gandi-hosting-vm n'est *pas* dans les dépots de mon serveur
: aptitude search gandi-hosting-vm ne renvoie rien (alors qu'il n'y a
aucun problème sur mon nouveau serveur d'hier).
Pas encore trop compris comment fonctionne votre système...

Autre remarque qui ne concerne plus ssl : j'ai un point de montage
devpts        /dev/pts          devpts  defaults      0 0 qui n'est pas
sur mon premier serveur. Il correspond à quoi ? Merci.

J'enverrai ce contenu au support si je n'ai pas de réponse ici, mais il
me semble plus utile d'avoir une réponse pour tous.