301 private links
Mise à jour d’OpenSSL, avec les versions 1.0.2h et 1.0.1t, depuis le 3 mai.
Liste des différentes failles : https://openssl.org/news/secadv/20160503.txt
Puisque j’oublie souvent, voilà une méthode simple pour générer un champ SSHFP :
ssh-keygen -r <fqdn> -f <file>
en remplaçant "<fqdn>" par votre nom de domaine avec le nom de votre machine, comme "foo.example.com", et "<file>" par le chemin vers le fichier.
Pour recréer à partir d’OpenSSL https://unix.stackexchange.com/questions/121880/how-do-i-generate-sshfp-records#133957
Oh non …
Cette mise à jour d’OpenSSL supprime des fonctionnalités et ainsi des symboles dans les binaires. Du coup, l’ensemble, voire la totalité des programmes utilisant OpenSSL deviennent cassés, et doivent être recompilés.
En même temps, cette mise à jour corrige de nombreuses failles et bulletins de sécurité, il ne faut pas l’ignorer.
https://www.openssl.org/news/secadv/20160301.txt
Voici le lien vers le message d’annonce de cette nouvelle version, qui indique que SSLv2 est supprimé, en plus d’être désactivé (euh ?).
https://marc.ttias.be/openssl-announce/2016-03/msg00002.php
EDIT 23:09+01:00: un article en français, parlant de l'attaque DROWN (Decrypting RSA using Obsolete and Weakened eNcryption) http://www.numerama.com/tech/149306-drown-un-tiers-des-serveurs-https-est-vulnerable-a-une-nouvelle-faille-critique.html
Avec un site Web, et un outil :
https://drownattack.com/
https://github.com/nimia/public_drown_scanner
Plus d’articles :
http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/
EDIT 2015-03-05 : Article de Bortzmeyer https://www.bortzmeyer.org/drown.html