Bonsoir, 2014-04-10T01:20:11+02:00, Simon Morvan <gar...@zone84.net> wrote: > Le 09/04/2014 23:40, jehan procaccia INT a écrit : > > serait-il capable de trouver une vulnérabilité dans openssh > un ldd de /usr/bin/ssh et /usr/sbin/sshd sur une debian wheezy ne liste > pas libssl. > > je ne sais pas si openssl se cache sous un autre nom dans ce cas mais il > semble qu'on soit tranquille pour le coup non ?
Effectivement, concernant OpenSSH, nous pouvons être relativement tranquille, pas parce que OpenSSH n'utilise pas OpenSSL, mais parce qu'OpenSSH n'utilise mais pas TLS pour le transport (au niveau de la couche Application du modèle TCP/IP) ; ce qu'OpenSSH utilise d'OpenSSL concerne les algorithmes de chiffrement. Donc, pas de HeartBeat en vue pour SSH ; par contre, nginx, postfix, et des logiciels XMPP peuvent être concernés. Voilà pour mes 2 centimes. Salutations, -- Thibaud CANALE thican [at] thican [dot] net http://thican.net/ GPG: 4096R/50733A18
signature.asc
Description: Digital signature
