BlackHat attacks RedHat

Après la faille de sécurtié dans Debian, c’est au tour d’un autre grand géant de Linux ! Le 22 Août était un très mauvais jour pour Fedora et RedHat. Ils ont subi une intrusion et ils ne savent pas exactement où est le problème … ou ne disent pas encore où est la faille.

Voici deux liens qui en parlent :

• http://linuxfr.org/~patrick_g/27082.html
• http://linux.slashdot.org/article.pl?sid=08/08/22/1341247
• et l’avis CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-428/index.html

Le premier donne un récapitulatif des faits et le second est juste une alerte avec quelques liens vers le site de RedHat où on dit qu’il y a effectivement un problème.

Pour l’instant, RedHat a fait deux actions :

1. Faire un script openssh-blacklist-1.0.sh qui permet de détecter les paquets défaillants. L’intrus aurait signé sur les serveurs compromis des paquets d’OpenSSH. Le script a donc la liste des signatures des paquets compromis et regarde si l’un des paquets est sur votre système.
2. Mettre à jour les paquets d’OpenSSH (en corrigeant au passage un vieux bug concernant un cookie X11 non sécurisé, mais rien à voir avec l’histoire).

Pour l’instant, RedHat ne sait donc pas (d’après les éléments publiés) où est exactement la faille exploitée par l’intrus ! Elle a donc juste mis à jour les versions des paquets OpenSSH en croisant les doigts et en priant pour que la faille en question ne soit pas dans la nouvelle version uploadée.

C’est assez grave … vaut mieux mettre à jour son système, même si le correctif actuel est assez ridicule (à mon avis), mieux vaut ne pas tenter le diable :p

J’espère qu’on aura dans un futur proche le fin mot de cette histoire.

[1] http://www.redhat.com/security/data/openssh-blacklist.html

Pour plus de détails sur ce bug, vous pouvez consulter l’annonce de sécurité faite par Debian : http://lists.debian.org/debian-security-announce/2008/msg00152.html. Profitez-en pour télécharger le programme dowkd.pl pour vérifier si vous avez des clés faibles sur votre système.

Mieux vaut donc mettre à jour votre système avec les nouveaux paquets corrigés et tous les programmes qui en dépendent (comme openssh-server, openvpn). Il est important de noter que cette faille affecte toutes les autres distributions basées sur Debian (etch/lenny/sid), même Ubuntu (Toutes les versions à partir de la 7.04). N’oubliez surtout pas donc vos clés SSH (RSA/DSA), votre fichier ~/.ssh/authorized_keys, les clés de votre serveur SSH, vos certificats, etc …

Beaucoup de gens semblent vraiment en vouloir au mainteneur du paquet d’OpenSSL. Julien BLACHE veut carrément une nouvelle équipe pour ce paquet critique. Mais, avant de prendre de telles décisions, il faut remarquer qu’il y avait un bug #332498 RFH (Request For Help). Les mainteneurs avaient clairement besoin d’aide et personne (ou presque) ne s’est proposé pour les aider. Donc à qui la faute finalement ? Je ne pense pas que le mainteneur soit le seul fautif. En fait, sa seule faute, (d’après moi), c’est de ne pas avoir montré le patch qu’il avait fait à l’équipe d’OpenSSL. Je pense qu’ils auraient vu le problème et auraient averti le mainteneur.

On verra bien comment cette histoire va évoluer au sein du projet Debian. J’espère qu’il en ressortira du bien …

Update: Le patch proposé par le mainteneur a bien été discuté sur la liste de développement OpenSSL-dev. Et l’équipe d’OpenSSL n’avait pas trouvé quelques chose de louche dans le code modifié. L’équipe OpenSSL de Debian n’a donc rien à se reprocher. Le lien : http://marc.info/?l=openssl-dev&m=114651085826293&w=2

Update 2 : Décidément, cette histoire ne va pas finir. En fait, le développeur Debian aurait bien discuté la modification avec les développeurs de OpenSSL (comme vous le montre le lien dans le premier Update). Mais, il a fait la même modification à d’autres endroits du code où ca crée un problème.

Update 3 : Quelques explications sont sur cette page SSLKeys. Et les patch intéressants : patch contenant le bug et patch correcteur. Notez que le patch correcteur date du 7 mai, soit 5 jours avant l’annonce du bug !