Vos clés ssh / openvpn sont-elles sûres ?

Il est rare que mon blog parle de faille de sécurité, mais cette info mérite d’être relayée dans le monde linux et surtout en français.

La faille enregistrée CVE-2008-0166 touche OpenSSL (plus d’info sur le site états-unien NIST). Les clés pour SSH et OpenVPN sont générées en utilisant des fonctions de cette bibliothèque. Un patch a été appliqué sur celle-ci dans Debian et ses dérivées (Ubuntu comprise) qui augmente anormalement la probabilité d’apparition de certaines clés.

Autrement dit, si vous avez déjà généré une clé SSH ou OpenVPN sous une distribution basée sur Debian, il est possible que plusieurs personnes aient la même que vous ou qu’un pirate informatique puisse se faire passer pour vous plus facilement que la normale.

Infos supplémentaires : votre clé SSH peut aussi avoir été compromise même si elle n’a pas été générée sous une distribution basée sur Debian. Ceci sous deux conditions : il s’agit d’une clé DSA et elle a été, un jour, utilisée sur une machine basée sur Debian. Cette deuxième cause impacte certainement beaucoup plus de personnes que la première cité ci-dessus. Voir le commentaire et le billet de Roland ci-dessous pour plus d’explications.

Un programme a été créé pour tester si votre clé est l’une de ces clés « fréquentes » ou non. Attention car il ne comporte qu’une partie de ces clés et pas toutes. Pour vérifier la clé ssh de tous les utilisateurs locaux de la machine, on le lance ainsi en tant que root :

perl ./dowkd.pl user

Si il n’affiche rien, c’est que votre clé est sûre ou qu’elle n’est pas dans la base de donnée de clés publiques de « dowkd.pl ».

Firefox 3 arrive dans cooker

Certains diront qu’il était temps… mais bon, une première version de paquetage pour firefox 3 est disponible dans cooker.

Il a été mis dans le dépôt main/testing car il s’agit uniquement de cela pour l’instant : un test (et il pose déjà certains problèmes). Le but est d’obtenir à terme un paquetage qui permette à firefox 2 et 3 de coexister.

Il y a toujours un débat qui fait rage depuis longtemps sur la manière d’empaqueter correctement firefox. Firefox est composé, pour simplifier, de l’interface graphique et du moteur de rendu : gecko. Le problème est que d’autres logiciels se basents sur gecko. C’est le cas notamment d’epiphany, le navigateur de GNOME qui utilise le même moteur, mais une autre interface, plus « gnomisée ». Lors d’une mise à jour de firefox (gecko est généralement mis à jour aussi), il faut bien s’assurer qu’il n’y a pas de problèmes pour les autres applications utilisant gecko. C’est une vraie plaie pour l’équipe sécurité de Mandriva qui doit lancer une batterie de tests énorme pour vérifier qu’il n’y a pas de régressions sur tous les logiciels se basant sur gecko.

L’arrivée de firefox 3 complique encore ce système et va demander du travail de la part des dévelopeurs Mandriva. Cela explique la lente arrivée de ce navigateur.

Personnellement, j’utilise depuis quelques semaines le binaire de la beta 5 fourni par firefox, installé dans mon répertoire personnel et j’en suis plutôt satisfait (par contre, je n’ai plus de plugins, inconvénient que l’on ne peut résoudre qu’en utilisant le paquetage Mandriva). Je ne vois pas d’amélioration qui casse des briques par rapport à firefox 2, mais pour avoir suivi un peu l’actualité sur firefox 3, je m’y attendais.

Publié dans Mandriva. 7 Comments »

Support UDF 2.5 dans Mandriva Linux 2008 Spring

Voilà une intéressante nouvelle : la Mandriva Linux 2008 Spring pourrait bénéficier prochainement du support de l’UDF 2.50 (aussi appelé format universel de disque). L’UDF est censé être le successeur du fameux ISO 9660, format tant utilisé pour graver les CD, mais comportant tant de limitations (qui sont partiellement comblées par les extensions : Joliet, El Torito et RockRidge).

L’UDF 2.5 permet notamment l’accès aux disques Blu-ray, impossible autrement. Il permet aussi la gravure au format UDF, qui offre un mécanisme de contrôle des erreurs et est plus économique en terme de place lorsque l’on effectue des sauvegardes.

Ce support sera disponible dans une prochaine version du noyau Mandriva-Turbolinux (et oui, maintenant, il est commun à ces deux distributions) : il s’appelera probablement « 2.6.24.5-1mnb », après avoir été testé par la communauté. D’ailleurs, si vous désirez le tester, on peut le trouver sur le site de Thomas Backlund (mais attention, ce noyau n’est pas supporté pour l’instant ! à vos risques et péril !).

LiveCD Xfce pour Mandriva Linux 2008 Spring

L’excellentissime gestionnaire de bureau Xfce auquel je donnerais volontiers le surnom de « bureau qui a ce qu’il faut là où il faut » a le vent en poupe. Tant et si bien qu’une réelle communauté Xfce sévit désormais au sein de Mandriva et de Cooker. Et son travail est généralement apprécié, voire beaucoup apprécié.

Bon, tout cela pour déclarer que vous pouvez désormais télécharger une version One de Mandriva Linux 2008 Spring comprenant Xfce comme bureau. Il faut pour cela, aller dans le sous-répertoire correspondant à votre architecture, puis votre groupe de langue (pour le français, c’est « int », pour les autres, la liste des langues est disponible sur la page wiki de la Mandriva Linux 2008 Spring).