La communauté Gandi

Faille de sécurité OpenSSL

Une vulnérabilité majeure a été révélée par les mainteneurs d’OpenSSL, voir la CVE-2014-0160 [2].
Vous devez prendre les mesures nécessaires afin de préserver la sécurité de vos services utilisant des certificats X509/SSL avec cette librairie.
Gandi a pris en compte cette vulnérabilité connue comme le « heartbleed » bug [1], touchant les versions 1.0.1 jusqu’à 1.0.1f d’OpenSSL. La version 1.0.1g ou la version 0.9.8 ne sont pas touchées.
Cette faille de sécurité existe depuis un moment et il y a une probabilité que des certificats X509/SSL aient été compromis, de manière indétectable.
Afin de résoudre ce problème, et uniquement si vous utilisez cette version d’openssl, vous devrez effectuer les opérations suivantes :
  • si vous utilisez un certificat SSL sur notre plateforme PaaS (SimpleHosting) ou via notre accélérateur web, nous avons corrigé cette faille dans la nuit, nous vous donnerons plus de détails sur l’exposition de vos données.
  • si vous utilisez notre plateforme IaaS, aussi appelée Gandi Serveur Cloud, ou un autre fournisseur d’hébergement dédié/virtualisé, en premier lieu, vous devez mettre à jour la version d’OpenSSL sur tout serveur que vous administrez vous-même (voir les mises à jour de sécurité de votre gestionnaire de paquets, par exemple, avec Debian, mettez à jour la liste des paquets avec apt-get update, puis installez la dernière version d’OpenSSL avec apt-get install openssl, ensuite redémarrez tout service utilisant cette librairie, assurez vous bien d’utiliser le dépôt officiel debian-security),
  • si vous utilisez nos certificats SSL sur des services externes, il faudra, après avoir vérifié la version d’OpenSSL utilisée, dans un second temps, regénérer la clé privée et le certificat X509/SSL correspondant, voir le tutoriel suivant pour obtenir de l’aide : https://docs.gandi.net/fr/ssl/regeneration/index.html
[2] : CVE-2014-0160