SMPFR

Alu: de ce que j'ai lu, en gros faut virer tout les cipher DHE simple et ca permet de boucher le trou. Pas de soucis avec nginx pour ma part:

[cpp] ssl on;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:5m;
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:SH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!kEDH";
[/cpp]

ping

ping

Ça fonctionne uniquement par iMessage (donc entre deux iPhone) et c'est au niveau de la notification. En gros si tu lis le message directement il ne passe rien.
Pour l'instant suffit juste de désactiver les notifs et ça roule en attendant une correction (maj)

ca fait quoi en faite?

ping

pong dans le pire des cas reboot en boucle de l'iprout

ha ouais moche

ping

pong Apple What Else?

ping

Ça fonctionne uniquement par iMessage (donc entre deux iPhone) et c'est au niveau de la notification. En gros si tu lis le message directement il ne passe rien.
Pour l'instant suffit juste de désactiver les notifs et ça roule en attendant une correction (maj)

Nop : SMS
-> BB vers iPhone = fait la nique ^^

ping

pong, +1 et avec whats app aussi

sous IOS 8.3 (et 8.2)

La soluce pour 2.2 (CF Debian security ) c'est de désactiver les cypher dh completements ... ou upgrade vers 2.4 ^^.

La réponse official c'est que backporter SSLOpenSSLConfCmd demande de backporter une chier de module ... donc ils le feront pas.

Pour réduire les cypher a uniquement des trucs fiable sur une 2.2 :

SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM
EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384
EECDH+aRSA+SHA256 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP
!PSK !SRP !DSS

ping

ping,

marche po. vient de tester, il présente encore du DHE => toujours vulnérable logjam

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 256
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128
TLS_DHE_RSA_WITH_SEED_CBC_SHA (0x9a) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45) DH 1024 bits (p: 128, g: 1, Ys: 128) FS WEAK 128

Alu: de ce que j'ai lu, en gros faut virer tout les cipher DHE simple et ca permet de boucher le trou. Pas de soucis avec nginx pour ma part:

[cpp] ssl on;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:5m;
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDH+AESGCM256:DH+AESGCM256:ECDH+AES256:SH+AES256:RSA+AESGCM256:RSA+AES256:!aNULL:!MD5:!kEDH";
[/cpp]

ping

pas de vulnérabilité avec ca pour moi + nginx

pong

ping
bah oui, mais pour apache ????

bas tu copie juste les cipher

c'est ca qui pose problème, tu utilise la conf d'alu et les cipher que j'ai et sur ssl qualy lab tu te tape un A+ et roulez (faut un ou deux tweak en plus)

sinon: commandé ca

pong

Petite question: un environnement style Cinnamon/gnome2 and co, ca donne quoi sur les écrans style rétina? car je compte changer mon pc portable qui est en faite beaucoup trop gros en taille :/ le seul point positif: la réso, fhd. du coup un X1 carbon m'intéresse bien ^^

merci

ping

bas tu copie juste les cipher

c'est ca qui pose problème, tu utilise la conf d'alu et les cipher que j'ai et sur ssl qualy lab tu te tape un A+ et roulez (faut un ou deux tweak en plus)

pong

pong,

non, pas si simple.
la clef est en dur dans apache pour la version 2.2, alors que exportée (et donc potentiellement unique) sur 2.4 et nginx
il présentera toujours la clef en 1024 quoi qu'il se passe.

dans mon précèdent post, j'ai mis la conf d'alu (ou il n'y a pas de DH1) et pourtant le apache continue d'envoyer des cypher faibles.

tu peux faire le tour de tout le net, en apache 2.2, ya pas de soluce

moche alors ^^

ping

j'ai une autre bécane avec un 2.4 avec les même cypher que sur mon 2.2, il est pas vulnérable

moche comme faille.
vais avancer la migration Jessie sur la prod je pense.

pong

pong,

non, pas si simple.
la clef est en dur dans apache pour la version 2.2, alors que exportée (et donc potentiellement unique) sur 2.4 et nginx
il présentera toujours la clef en 1024 quoi qu'il se passe.

dans mon précèdent post, j'ai mis la conf d'alu (ou il n'y a pas de DH1) et pourtant le apache continue d'envoyer des cypher faibles.

tu peux faire le tour de tout le net, en apache 2.2, ya pas de soluce

Dans ce cas tu peux toujours blacklister les cypher dans openssl directement ... un petit ./configure --no-dh devrait faire l'affaire.

Bizzard qu'il soit toujours vulnerable, normalement ces cypher utilsent ECDH.

ping

hynix 2Gb 1Rx8 PC3 - 10600E 9-10-D0

Quid de l'estimation ?
De plus, Le E situé après 10600 que signifie t-il ?

Pong

Ping

Oui c'est moche comme faille mais c'est une conséquence non prévue des restrictions à l'exportation imposées un temps sur les soft capables de faire du chiffrement. Au fond c'est le même prob que la précédente 'faille' FREAK.

Tu fausse la négo SSL/TLS pour rétrograder sur un chiffrement de grade 'export' càd bien merdique.
Et toute la config dans tes fichiers est ignorée/contournée. \o/

Pong

'fiou enfin à la maison, journée de meeeeeeeeeeeerde à tous les niveaux !

mode dodo métro boulot métro dodo, entre coupé de formation une semaine sur quatre.

CA ping pas plus avec ou sans effort de ma part, le crédo du boss :
- on verra ca plus tard,
- le client on s'enfou, pour ce qu'il paie
- reviens me voir plus tard dans la journée, sauf que le boss est plus là plus tard.
- pancrace est mon ami,

mais quand les clients sont pas contents c'est sur bibi que celà tombe, car je n'ai pas pu répondre ou solutionner leur problèmes.

En d'autres termes ===> manard téléphonique pas cher pour nettoyer des virus à distance, commence a déchanter. mais je ne lâcherais pas le taf , je veux mon diplôme à la fin.

bon passons ce mauvais ping du jour, demain soir c'est week end.

hynix 2Gb 1Rx8 PC3 - 10600E 9-10-D0

Quid de l'estimation ?
De plus, Le E situé après 10600 que signifie t-il ?

Pong

E pour ECC mais pas reg (sinon c'est un R) ca vaut 5/10€ grd max les 2 Gb
pong

Ok merci bien.

Ping

Pong
Il faudrait que je vous mette une photo de mes de t-shirts préférés

Ils sont dédiés à mes collègues

ping je viens de recevoir un sonos play3 ... c'est de la boulette ce truc . Ça donne juste envie d'en acheter d'autres.

SMPFR

ριиg σr ρσиg ?

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur

ριиg σr ρσиg ? Côté obscur