Re: Trou de securite Debian pour SSH/SSL

Top Page

Reply to this message
Author: Olivier Guerrier
Date:  
To: ML Guilde
Subject: Re: Trou de securite Debian pour SSH/SSL
Olivier Allard-Jacquin a écrit :
>     Bonjour

>
> Frédéric a écrit :
>> Le 16/5/2008, "Stephane Driussi" <stephane.driussi@???> a écrit:
>>
>>> Je suis sous slackware donc a priori pas de soucis[...]
>> Attention : ce n'est pas parce que tu n'es pas en debian qu'il n'y a
>> pas de risque ; si j'ai bien pigé, le fait d'intégrer une clé SSH
>> foireuse (qui a été générée par une distrib debian durant ces 2
>> dernières années, donc) dans un de tes fichiers 'authorized_keys'
>> conduit à une faille...
>>
>> Me goure-je ?
>
>     Non, tu as raison : Un intrus peut tenter de se connecter au serveur
> SSH de Stephane, en tentant de négocier une session avec cette clé
> défectueuse (générée par une Debian & co).

>
>     En essayant plusieurs clefs, il finira par tomber sur cette clef, et
> pourra alors de connecter au serveur SSH de Stéphane, en se faisant
> passer pour un de ses utilisateurs.


Il y a le kit du parfait petit SK sur
http://metasploit.com/users/hdm/tools/debian-openssl/

Base de clé précalculées, et script pour interroger un serveur distant...

ça peut servir aussi pour tester sa propre machine...

Olivier.