Accueil > Le blog du libre > Faille Debian

Faille Debian

Publié le 17 mai 2008 par mverdier
dans

Une faille a été localisée dans OpenSSL [1]. Ce n'est malheureusement pas la première ni la dernière. Mais sa grande particularité est d'avoir été introduite par le mainteneur Debian. Debian se mettrait à générer des bugs ?

Le mainteneur du paquet Debian a fait un excès de zèle qui a rendu prédictibles les clefs générées par OpenSSL. Du coup toutes ces clefs sont piratables. Et ceci depuis 2006. Certains articles peuvent laisser penser que seuls les systèmes Debian (et les distributions dérivées telles que Ubuntu) sont vulnérables [2]. Ce n'est pas le cas. Tout système utilisant des clefs générées sur Debian est piratable [3]. Un utilisateur Debian mettant sa clef pour protéger un accès à un serveur BSD ouvrira une faille sur ce serveur. C'est dire l'importance de la faille. Et l'importance des réactions est signe de la large diffusion de cette distribution.

Debian est bien évidemment mis sur la sellette [4]. Certains vont même jusqu'à dire qu'il aurait mieux valu que le code OpenSSL soit fermé pour ne pas pouvoir être modifié. Tout ceci est bien sûr exagéré mais Debian devrait évoluer pour que ce problème puisse être évité. Mais de quoi parle-t-on ? Aigarius le résume assez bien sur son blog. En voici une traduction pour les non anglophones.

- Le projet (OpenSSL) a utilisé des astuces se basant sur de la mémoire non initialisée pour obtenir des valeurs aléatoires
- Le projet a utilisé le même code et les même noms de variables pour décrire des choses différentes
- Le projet n'a pas documenté le code pour expliquer les points précédents
- Le mainteneur (Debian) a trop généralisé une modification
- Un bug a traversé le processus de validation
- Un autre mainteneur a découvert le bug et comprit sa signification malgré les points précédents
- Le projet Debian a annoncé et reconnu tous ces points et s'est démené pour fournir un correctif au plus vite.

Dit comme cela, Debian est tout de suite moins sur la sellette. Et je vous laisse savourer des points de vue alternatifs sur la question [5].

[1] http://www.debian.org/security/2008/dsa-1571
[2] http://it.slashdot.org/it/08/05/13/1533212.shtml
[3] http://blog.drinsama.de/erich/en/linux/2008051401-consequences-of-sslssh...
[4] http://changelog.complete.org/archives/714-thoughtfulness-on-the-openssl...
[5] http://metasploit.com/users/hdm/tools/debian-openssl/