Étiquette : debian

Hiawatha, serveur web sécurisé, utilise mbed TLS

Hiawatha, serveur web sécurisé, utilisent maintenant mbed TLS. Explication de ce changement.

Lors de la Release 9.12, Hiawatha, un serveur web sécurisé open source,  a annoncé utiliser maintenant mbed TLS au lieu de PolarSSL. En effet, ARM a acquis PolarSSL qui a été renommé mbed TLS. Juste un changement de nom ? (malheureux, car comment perdre de la renommée, mais ce n’est que mon humble avis). En fait non, car des changements sont intervenus au niveau du code ce qui a pour conséquence une perte de compatibilité avec les anciennes versions de PolarSSL. Hiawatha ne supporte plus que les versions de mbeb TLS à partir de la version 1.3.10.
Attention lors de vos mises à jour, même si l’impact doit être nul d’après le mainteneur.

Par ailleurs, les nouvelles versions des paquets debian sont disponibles comme d’habitude grâce à Chris sur le site files.tuxhelp.org. Enfin, si vous recherchez un package pour votre Raspberry PI préférée, c’est par ici : https://files.intermezzo.net/hiawatha_raspi/

Par ailleurs, je suis curieux de connaître le retour d’expérience d’utilisateurs de Hiawatha ainsi que les raisons de leur choix. Postez un message en commentaire !

[ Alert openssl ] : faille de sécurité – CVE-2014-0160

Faille de sécurité OpenSSL

Une nouvelle de faille de sécurité a été découverte dans le paquet OpenSSL. Les versions impactées sont les suivantes :

  • 1.0.1
  • 1.0.2-beta
  • 1.0.1f
  • 1.0.2-beta1

Afin de corriger cette faille , une correction est disponible. Les versions 1.0.2 et 1.0.2-beta2 corrigent la faille.

Pour informations, les distributions ubuntu LTS (et non LTS) sont soit non affectées soit disposent d’un correctifs. Pour la 12.0.4LTS, c’est la version 1..0.1-4ubuntu5.12 et pour la 14.04LTS, c’est la version 1.0.1f-ubuntu2.

En ce qui concerne Debian, Squeeze n’est pas concernée par cette vulnérabilité. Par contre, pour Wheezy, la vulnérabilité a été corrigée dans la version 1.0.1e-2+deb7u5, pour Jessie, dans la version 1.0.1g-1 et enfin pour Sid, dans la version 1.0.1g-1.

Cette vulnérabilité impacte la prise en charge par OpenSSL de l’extension TLS/DTLS Heartbeat et peut permettre à un attaquant de compromettre les clefs privées et d’autres données sensibles en mémoire.

Debian – ubuntu : script pour nettoyer les vieux noyaux

Au fil des mises à jour, les noyaux occupent de plus en plus de place sur votre système pourtant optimisé. Voici comment faire le nettoyage nécessaire.

Voici un script assez simple permettant en une ligne de commande de supprimer ses anciens noyaux et de ne garger que le dernier. Par contre, assurez-vous bien avant de faire cela, qu’il fonctionne bien !

dpkg -l 'linux-*' | sed '/^ii/!d;/'"$(uname -r | sed "s/(.*)-([^0-9]+)/1/")"'/d;s/^[^ ]* [^ ]* ([^ ]*).*/1/;/[0-9]/!d' | xargs sudo aptitude -y purge

Ensuite, faites une mise à jour de grub :

sudo update-grub

Sinon, vous avez une autre alternative, celle d’utiliser kclean. C’est en fait un script contenant des options acancées :

        -t      --term          Lance le script en mode console (mode par défaut)
        -g      --gui           Lance le script en mode graphique
        -k      --keep-prev     Conserve automatiquement le noyau précédent
        -s      --simulate      Aucune suppression réelle, simple simulation
        -h      --help          Affichage de la syntaxe
        -f      --force-yes     Suppression sans aucune demande de confirmation !
        -v      --version       Informations sur les versions

Debian squeeze Munin : client denied by server configuration

Vous venez d’installer munin via les dépôts officiel de debian squeeze. La configuration de munin est faite en suivant votre guide préféré, mais lorsque vous souhaitez accéder à vos magnifiques graphes, apache vous renvoie une magnifique erreur. Dans votre fichier de log d’apache vous avez ceci : client denied by server configuration

La solution est en fait assez simple, mais j’ai pas mal galérer afin de trouver la solution.

Il faut autoriser l’accès à votre IP dans la configuration de votre serveur apache.
Il faut éditer ce fichier :
/etc/munin/apache.conf
Et ajouter l’IP de sa machine (par ex 192.168.1.1) comme ceci :
Allow from localhost 192.168.1.1/24 ::1
Juste en dessous de celle-ci :
Allow from localhost 127.0.0.0/8 ::1

Puis, il faut redémarrer votre serveur apache et munin-node, et hop cela fonctionne.