Gandi.net Groups

Hébergement mode expert: OpenSSL et paquets gandi

Vous devez être connecté pour poster de nouveaux messages. Créer un compte.

Je cite le mail de gandi:
2) Si vous êtes en mode expert

Si la clef d'administration de Gandi était présente sur votre VM et
que 
votre VM est accessible par les serveurs Gandi, celle-ci est mise à
jour
pour une nouvelle clef, non vulnérable.

Gandi a préparé un package (nommé gandi-hosting-vm) qui :
  * met à jour OpenSSL en version corrigée (Debian et Ubuntu)
  * met à jour la clef d'administration Gandi (si l'accès n'a pas
  été fermé)
  * sauvegarde les clefs SSH (en .old) associées à la machine et les
  recrée
Vous pouvez donc mettre à jour ce package pour corriger les
problèmes de 
l'alerte ou effectuer manuellement ces modifications.
Je ne trouve pas les paquets gandi étant donné ma sources.list:
deb http://ubuntu.mirror.gandi.net/mirror/ubun... hardy main
universe multiverse
deb http://ubuntu.mirror.gandi.net/mirror/ubun... hardy-security
main universe multiverse
deb http://ubuntu.mirror.gandi.net/mirror/ubun... hardy-updates
main

Ceci dit les paquets ubuntu ont régénéré les clés de l'hôte.
Et l'accès gandi a pu être utilisé pour régénérer sa propre clé.

Question subsidiaire, s'agit-il de la nouvelle clé gandi:
cat ~root/.ssh/authorized_keys
# from="217.70.181.*" ssh-dss
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
mgt_gandi
1024 0d:1f:57:ed:99:a4:37:fa:f8:19:93:ad:a1:cc:b5:af  mgt_gandi

Merci
Le 14 mai 2008 à 15:19 CEST, Yoplait a écrit :
Je cite le mail de gandi:
Je n'ai pas vu ce mail. Où est-il passé ? Une copie complète quelque
part ?

Pour l'instant, tout ce que je sais est là :

http://wiki.debian.org/SSLkeys
Bonjour,

Même problème sur Debian, et malgré la présence dans mon
sources.list du serveur "gandistrib" (sources.list d'origine).

Voici les paquets contenant "gandi" que voit APT :

# apt-cache search gandi
gandi-hosting-agent-plugins-internal-unix - Plugins for Gandi agent
auto-install
gandi-hosting-agent-schemes - XML schemes for the agent of GandiAI
gandi-hosting-agent-plugins-internal-debian - Plugins for Gandi agent
auto-install
gandi-hosting-agent - Agent for Gandi auto-install

Après une mise à jour "standard Debian" de ssh, et suppression des
clés vulnérables, ssh-vulnkey voit la même clé que toi pour Gandi...
Je ne sais pas si c'est la bonne...

ChrisJ.


Le 14 mai 2008 à 15:19 CEST, Yoplait a écrit :
Je cite le mail de gandi:
2) Si vous êtes en mode expert

Si la clef d'administration de Gandi était présente sur votre VM et
que 
votre VM est accessible par les serveurs Gandi, celle-ci est mise à
jour
pour une nouvelle clef, non vulnérable.

Gandi a préparé un package (nommé gandi-hosting-vm) qui :
  * met à jour OpenSSL en version corrigée (Debian et Ubuntu)
  * met à jour la clef d'administration Gandi (si l'accès n'a pas
  été fermé)
  * sauvegarde les clefs SSH (en .old) associées à la machine et
  les
  recrée
Vous pouvez donc mettre à jour ce package pour corriger les
problèmes de 
l'alerte ou effectuer manuellement ces modifications.
Je ne trouve pas les paquets gandi étant donné ma sources.list:
deb http://ubuntu.mirror.gandi.net/mirror/ubun... hardy main
universe multiverse
deb http://ubuntu.mirror.gandi.net/mirror/ubun... hardy-security
main universe multiverse
deb http://ubuntu.mirror.gandi.net/mirror/ubun... hardy-updates
main

Ceci dit les paquets ubuntu ont régénéré les clés de l'hôte.
Et l'accès gandi a pu être utilisé pour régénérer sa propre
clé.

Question subsidiaire, s'agit-il de la nouvelle clé gandi:
cat ~root/.ssh/authorized_keys
# from="217.70.181.*" ssh-dss


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
mgt_gandi
1024 0d:1f:57:ed:99:a4:37:fa:f8:19:93:ad:a1:cc:b5:af  mgt_gandi

Merci
Le Wed, 14 May 2008 16:58:31 +0000, Stéphane Bortzmeyer a écrit :
Le 14 mai 2008 a 15:19 CEST, Yoplait a ecrit :
Je cite le mail de gandi:
Je n'ai pas vu ce mail. Ou est-il passe ? Une copie complete quelque
part ?
Voici:
--8<-----

Subject: [Gandi] Faille OpenSSL sur Linux Debian et Ubuntu
Date: Wed, 14 May 2008 14:27:42 +0200

Bonjour,

Suite à une modification appliquée par les développeurs du système
Linux 
Debian
sur le programme OpenSSL, une faiblesse dans la génération des nombres

aléatoires a été introduite.

C'est assez technique mais cette faiblesse a pour conséquence de rendre

prédictible les clefs générées par
le programme OpenSSL ; la confidentialité des échanges avec votre 
serveur, notamment, est potentiellement compromise.

Par ricochet, la distribution Ubuntu est également atteinte.

Qui est concerné ?

Les utilisateurs GandiAI et les utilisateurs experts utilisant une 
Debian ou une Ubuntu sont concernés par ce problème de sécurité.

De manière plus générale vous êtes concernés si vous avez généré
des 
clés ou des certificats avec :
 * Une Debian Etch, Lenny ou Sid
 * Une Ubuntu Feisty, Gutsy, Hardy ou Intrepid Ibex
 * En utilisant OpenSSL, ssh-keygen, ou 'openvpn --keygen'

Ceci depuis le 17 septembre 2006.

Intervention de Gandi
------------------------

1) Si vous utilisez Gandi AI, nous avons tout géré pour vous.

Les clés SSH (machine et compte utilisateur) utilisées pour 
l'administration, vulnérables du fait de la faille, ont été
regénérées
par nos soins.

 * A partir d'un Windows, si vous utilisez PuTTY, lors de votre 
prochaine connexion SSH sur votre serveur Gandi AI, vous obtiendrez un 
message
d'avertissement :

"WARNING - POTENTIAL SECURITY BREACH!"

Ce message est dû au changement de la clef machine, il est donc normal 
juste pour cette fois. Vous devez accepter la nouvelle clef en validant
(Oui/Yes).

 * A partir d'un linux/unix, lors de votre prochaine connexion SSH sur 
votre serveur Gandi AI vous obtiendrez un message d'avertissement :

"IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!"

Ce message est dû au changement de la clef machine, il est donc normal 
juste pour cette fois. Il vous faut supprimer l'ancienne clef. Sous
linux/unix, cela s'effectue de la manière suivante :
    $ ssh-keygen -R hostname-de-votre-serveur

La nouvelle clef sera enregistrée par votre client SSH lors de la
connexion et ne doit pas changer par la suite.

Si vous avez ajouté des clés SSH pour des comptes utilisateurs, nous 
vous conseillons vivement de les regénérer.

2) Si vous êtes en mode expert

Si la clef d'administration de Gandi était présente sur votre VM et
que 
votre VM est accessible par les serveurs Gandi, celle-ci est mise à
jour
pour une nouvelle clef, non vulnérable.

Gandi a préparé un package (nommé gandi-hosting-vm) qui :
  * met à jour OpenSSL en version corrigée (Debian et Ubuntu)
  * met à jour la clef d'administration Gandi (si l'accès n'a pas
été fermé)
  * sauvegarde les clefs SSH (en .old) associées à la machine et les
recrée
Vous pouvez donc mettre à jour ce package pour corriger les problèmes
de 
l'alerte ou effectuer manuellement ces modifications.

Dans tous les cas n'hésitez pas à contacter notre service client si
vous 
avez des questions supplémentaires sur le sujet.


Très cordialement
Nicolas Lhuillery
Directeur du Produit
Gandi - http://www.gandi.net




Pour les plus techniques
------------------------

  A. Comment tester des clés

    Récupérer le script dowkd.pl :

    $ cd /tmp
    $ wget http://security.debian.org/project/extra/d...
    $ wget
http://security.debian.org/project/extra/d...
    $ gpg --keyserver subkeys.pgp.net --recv-keys 02D524BE
    $ gpg --verify dowkd.pl.gz.asc
    $ gunzip dowkd.pl.gz

    L'appliquer sur des clés de machine (host key) :

    $ perl dowkd.pl host localhost
    # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9
    # localhost SSH-2.0-OpenSSH_4.3p2 Debian-9
    localhost: weak key
    localhost: weak key

    Le message "weak key" indique que la clef est faible et donc
vulnérable.

    L'appliquer sur des clés d'utilisateurs :

    $ perl dowkd.pl user nom_d_utilisateur
    /home/someuser/.ssh/authorized_keys:1: warning: unparsable line
    /home/someuser/.ssh/authorized_keys:3: warning: unparsable line
    /home/someuser/.ssh/authorized_keys:4: weak key
    /home/someuser/.ssh/authorized_keys:5: weak key

  B. Certificats

    Utiliser une procédure de révocation/regénération de
certificats.
Le 14 mai 2008 à 21:27 CEST, Yoplait a écrit :
Je cite le mail de gandi:
Je n'ai pas vu ce mail. Ou est-il passe ? Une copie complete quelque
part ?
Voici:
Merci, je l'ai retrouvé. Mauvais tri de ma part,désolé.
Le 14 mai 2008 à 18:55 CEST, ChrisJ a écrit :
Même problème sur Debian, et malgré la présence dans mon
sources.list du serveur "gandistrib" (sources.list d'origine).

Voici les paquets contenant "gandi" que voit APT :

# apt-cache search gandi
gandi-hosting-agent-plugins-internal-unix - Plugins for Gandi agent
auto-install
gandi-hosting-agent-schemes - XML schemes for the agent of GandiAI
gandi-hosting-agent-plugins-internal-debian - Plugins for Gandi agent
auto-install
gandi-hosting-agent - Agent for Gandi auto-install
Même chose pour moi. Le paquetage gandi-hosting-vm cité dans le
message de Gandi ne semble pas exister (je viens de vérifier le
sources.list et de refaire un aptitude update).
Je suis en Gandi Expert. J'ai tenté cette manipulation :
- J'ai fait un apt-get install gandi-hosting-vm : le paquet a été
trouvé et installé
- J'ai rebooter le serveur
- J'ai suivi la procédure pour tester les clés : admin@mrparking:/tmp$
perl dowkd.pl host localhost
# localhost SSH-2.0-OpenSSH_4.6p1 Debian-5build1
# localhost SSH-2.0-OpenSSH_4.6p1 Debian-5build1

localhost: weak key
localhost: weak key


Pourtant il m'affiche encore weak key. Que dois-je faire ?


Le 15 mai 2008 à 15:12 CEST, Stéphane Bortzmeyer a écrit :
Le 14 mai 2008 à 18:55 CEST, ChrisJ a écrit :
Même problème sur Debian, et malgré la présence dans mon
sources.list du serveur "gandistrib" (sources.list d'origine).

Voici les paquets contenant "gandi" que voit APT :

# apt-cache search gandi
gandi-hosting-agent-plugins-internal-unix - Plugins for Gandi agent
auto-install
gandi-hosting-agent-schemes - XML schemes for the agent of GandiAI
gandi-hosting-agent-plugins-internal-debian - Plugins for Gandi agent
auto-install
gandi-hosting-agent - Agent for Gandi auto-install
Même chose pour moi. Le paquetage gandi-hosting-vm cité dans le
message de Gandi ne semble pas exister (je viens de vérifier le
sources.list et de refaire un aptitude update).
- J'ai fait un apt-get install gandi-hosting-vm : le paquet a été
trouvé et installé
Quel est le contenu de ton sources.list ? Car avec le mien (sources
"Gandi par défaut"), toujours rien.

ChrisJ.
Le 15 mai 2008 à 20:13 CEST, ChrisJ a écrit :
 - J'ai fait un apt-get install gandi-hosting-vm : le paquet a été
trouvé et installé
Quel est le contenu de ton sources.list ? Car avec le mien (sources
"Gandi par défaut"), toujours rien.

ChrisJ.
Si ca peut aider : 
$ apt-get install gandi-hosting-vm
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Les paquets supplémentaires suivants seront installés : 
  gandi-hosting-vm-ssl-ubuntu libssl-dev libssl0.9.8 openssl
Paquets suggérés :
  ca-certificates
Les NOUVEAUX paquets suivants seront installés :
  gandi-hosting-vm-ssl-ubuntu
Les paquets suivants seront mis à jour :
  gandi-hosting-vm libssl-dev libssl0.9.8 openssl
4 mis à jour, 1 nouvellement installés, 0 à enlever et 57 non mis à
jour.
Il est nécessaire de prendre 5657ko dans les archives.
Après dépaquetage, 45,1ko d'espace disque supplémentaires seront
utilisés.
Souhaitez-vous continuer [O/n] ? O
Réception de : 1 http://gandistrib.mirror.gandi.net gutsy/main
gandi-hosting-vm-ssl-ubuntu 1.0.0-r1125 [5112B]
Réception de : 2 http://ubuntu.mirror.gandi.net gutsy-security/main
libssl-dev 0.9.8e-5ubuntu3.2 [1943kB]
Réception de : 3 http://gandistrib.mirror.gandi.net gutsy/main
gandi-hosting-vm 1.0.0-r1125 [11,6kB]
Réception de : 4 http://ubuntu.mirror.gandi.net gutsy-security/main
libssl0.9.8 0.9.8e-5ubuntu3.2 [2825kB]
Réception de : 5 http://ubuntu.mirror.gandi.net gutsy-security/main
openssl 0.9.8e-5ubuntu3.2 [872kB]
Pour info, apres avoir relancé aujourd'hui l'installation du paquet,
tout c'est bien passé et mes clés sont maintenant sécurisées.

Bon courage

Le 15 mai 2008 à 16:24 CEST, Grégoire a écrit :
Je suis en Gandi Expert. J'ai tenté cette manipulation :
- J'ai fait un apt-get install gandi-hosting-vm : le paquet a été
trouvé et installé
- J'ai rebooter le serveur
- J'ai suivi la procédure pour tester les clés :
admin@mrparking:/tmp$
perl dowkd.pl host localhost
# localhost SSH-2.0-OpenSSH_4.6p1 Debian-5build1
# localhost SSH-2.0-OpenSSH_4.6p1 Debian-5build1

localhost: weak key
localhost: weak key


Pourtant il m'affiche encore weak key. Que dois-je faire ?


Le 15 mai 2008 à 15:12 CEST, Stéphane Bortzmeyer a écrit :
Le 14 mai 2008 à 18:55 CEST, ChrisJ a écrit :
Même problème sur Debian, et malgré la présence dans mon
sources.list du serveur "gandistrib" (sources.list d'origine).

Voici les paquets contenant "gandi" que voit APT :

# apt-cache search gandi
gandi-hosting-agent-plugins-internal-unix - Plugins for Gandi agent
auto-install
gandi-hosting-agent-schemes - XML schemes for the agent of GandiAI
gandi-hosting-agent-plugins-internal-debian - Plugins for Gandi
agent
auto-install
gandi-hosting-agent - Agent for Gandi auto-install
Même chose pour moi. Le paquetage gandi-hosting-vm cité dans le
message de Gandi ne semble pas exister (je viens de vérifier le
sources.list et de refaire un aptitude update).
Le 15 mai 2008 à 20:13 CEST, ChrisJ a écrit :
 - J'ai fait un apt-get install gandi-hosting-vm : le paquet a été
trouvé et installé
Quel est le contenu de ton sources.list ? Car avec le mien (sources
"Gandi par défaut"), toujours rien.

ChrisJ.
idem toujours rien !!

al.
Le 16 mai 2008 à 03:24 CEST, Alban Maire a écrit :
idem toujours rien !!
Idem hélas pour moi, à l'instant, alors que les paquetages réparés
sont enfin arrivés dans Debian testing/lenny... mais pas chez Gandi.

 % cat /etc/apt/sources.list
deb http://debian.mirror.gandi.net/debian/ lenny main 
deb-src http://debian.mirror.gandi.net/debian/ lenny main 
deb http://security.debian.org/debian-security lenny/updates main 
deb http://gandistrib.mirror.gandi.net/debian lenny main
Le 16 mai 2008 à 14:55 CEST, Stéphane Bortzmeyer a écrit :
Idem hélas pour moi, à l'instant, alors que les paquetages réparés
sont enfin arrivés dans Debian testing/lenny... mais pas chez Gandi.
Toujours pas. Je suis allé chercher les paquetages "lenny" à la main
(openssh-client_4.7p1-9_i386.deb, openssh-blacklist_0.1.0_all.deb,
openssh-server_4.7p1-9_i386.deb, libssl0.9.8_0.9.8g-10_i386.deb) sur
packages.debian.org, je les ai installés, les clés de ma VM ont été
refaites.

Pourquoi le miroir de Gandi est-il si en retard ? Parce qu'il était sur
le filer 13 ? :-}