Bonjour,
Est-ce que l'équipe K-net pourrait confirmer si ses serveurs sont vulnérables (http://heartbleed.com/)?
Je pense aux serveurs Webmail, Forum et messagerie où il est possible d'utiliser des connexions SSL.
Je ne pense pas que la téléphonie soit affectée, mais ça serait bien de confirmer aussi.
Cordialement,
--
Marc
Hello,
Thawte, un des organismes qui délivre des certificats, a cette page à disposition : https://ssltools.thawte.com/checker/
Pas de faille sur le forum, par contre y'a un autre petit soucis sur le certif.
C'est ça le test : http://filippo.io/Heartbleed/ (http://filippo.io/Heartbleed/)
Forum : http://filippo.io/Heartbleed/#forum.k-net.fr:443 (http://filippo.io/Heartbleed/#forum.k-net.fr:443)
Site : http://filippo.io/Heartbleed/#www.k-net.fr:443 (http://filippo.io/Heartbleed/#www.k-net.fr:443)
Pouvoir récupérer les clés d'un serveur permet en théorie de le dupliquer à 100% sans que le moindre service sur la machine d'un utilisateur ciblé ne puisse trouver quoi que ce soit à redire. Si c'est cumulé à une attaque du serveur DNS/via les fichiers host de la machine de l'utilisateur cible, ça peut permettre de récupérer identifiants, n° CB, etc, sans keylogger.
La résolution est simple mais la faille ultra critique.
Les tests en ligne ne sont pas fiables car ils ne vérifient pas tout. De plus, s'il y a un load balancer devant les serveurs, les résultats sont ceux du load balancer et pas du serveur. La seule bonne méthode est de lancer > openssl -v dans un shell. C'est pour ça que je demande à l'équipe K-net de confirmer.
Toute les machines sont à jours, et, sauf oubli, les services utilisent la dernière version de la bibliothéque
Citation de: jack le 10 Avril 2014 à 14:25:42
Toute les machines sont à jours, et, sauf oubli, les services utilisent la dernière version de la bibliothèque
Merci Jack
Citation de: jack le 10 Avril 2014 à 14:25:42
Toute les machines sont à jours, et, sauf oubli, les services utilisent la dernière version de la bibliothéque
Très utile information. Merci.