Le point sur herbesfolles

Faille dans le logiciel de chiffrement des connexions

Une faille a été découverte début avril dans le logiciel openssl qui est utilisé par herbesfolles ainsi que la plupart des autres serveurs sur Internet pour chiffrer les connexion. Un-e attaquant-e pouvait utiliser cette faille pour déchiffrer les connexions et voler les secrets chiffrée. Pour plus de détails, voir : https://fr.wikipedia.org/wiki/Heartbleed.

Nous avons mis à jour le logiciel sur herbesfolles le jour même de la publication du correctif. Cependant, il est possible que des attaquant-es aient utilisé la faille avant qu’elle ne soit publiée. C’est pourquoi nous avons créé de nouveaux certificats TLS que nous allons mettre en place le week-end prochain. [c’est donc fait depuis dimanche 20 avril 2014]

Nous vous invitons fortement à changer vos mots de passes UNE FOIS QUE LES NOUVEAUX CERTIFICATS SERONT EN PLACE seulement [vous pouvez donc le faire maintenant] :

– pour changer les mots de passe mail, voir : http://www.herbesfolles.org/changer-son-mot-de-passe-email/
– pour changer les autres mots de passe, allez sur le panneau d’administration sur : https://admin.herbesfolles.org ou écrivez-nous à admins@herbesfolles.org

L’empreinte de ces nouveaux certificats est :

  • empreinte SHA1 : BA:3C:29:A2:D8:94:78:61:7B:CA:C6:02:FB:DB:39:58:E3:F7:C6:11
  • empreinte SHA256 : 85:AA:94:5B:86:A7:3B:A2:32:5B:8B:3E:8C:24:87:C3:ED:AB:41:19:42:6B:B0:7C:90:BC:3E:6A:37:98:F6:90

Nous avons aussi généré un nouveau certificat d’autorité que vous pouvez installer dans votre navigateur (voir http://www.herbesfolles.org/certificatssl/ )

Son empreinte est :

  • empreinte SHA1 : 9B:10:17:97:66:9F:C6:41:4A:66:18:8F:32:43:94:3A:34:2B:47:01
  • empreinte SHA256 : 75:98:7B:D2:74:1C:77:E9:8C:CC:A9:9B:3B:D3:F9:64:4E:5C:58:02:80:E1:D9:4B:AC:80:C7:90:33:85:F3:1E

Le point sur les réparations sur herbesfolles après notre chantier

Depuis notre chantier de mise à jour du serveur d’herbesfolles on a eu bien des soucis dont vous avez dû pâtir, et on a du mal à les régler : en particulier, on a eu des soucis d’annuaire (DNS) qui ont rendu herbesfolles difficillement accessible et occasionné des retards de mails, voir des mails perdus ; et les listes de diffusion mail nous donnent du fil à retordre. Bref, ça a été assez ennuyeux, pour vous comme pour nous. On espère que vous êtes encore prêt-es à tenter l’aventure d’un serveur géré par quelques bénévoles qui ont encore beaucoup à apprendre.

On voulait donc vous écrire ce message pour faire le point sur où en en est, quels sont les problèmes qui restent et vous donner une idée de la suite. A vous de choisir ensuite si vous préférez continuer avec nous ou chercher ailleurs des services qui correspondent mieux à vos besoins. En tout cas n’hésitez pas à nous en parler, nous vous aiderons autant que possible.

Au niveau de l’annuaire (DNS)

Pour se connecter à un serveur comme herbesfolles, il faut d’abord trouver son adresse dans un annuaire appelé DNS, comme on trouve le numéro d’un-e correspondant-e dans l’annuaire téléphonique. Pour chaque serveur, il y a deux annuaires de référence, appelés « serveur de noms primaire » et « serveur de noms secondaire ». On a eu des soucis avec notre serveur de noms, ce qui a rendu herbesfolles difficilement accessible depuis certains fournisseurs d’accès pendant des périodes plus ou moins longues et qui a notamment retardé des mails. Notre serveur de noms primaire était mal configuré et le serveur de noms secondaire n’était plus synchronisé avec le serveur de noms primaire.

On pense avoir résolu la plus grande partie de ce problème et en pratique vous ne devriez plus en souffrir. Il nous reste :

  • à bien intégrer les solutions qu’on a trouvées à notre configuration ;
  • à rétablir le serveur de noms secondaire (actuellement les serveur primaire et le serveur secondaire sont le même).

Au niveau du webmail

Sur https://mail.herbesfolles.org, il n’était plus possible d’attacher des fichiers aux messages, et la première ligne de certains messages était parfois cachée.

Nous avons installé un nouveau logiciel de webmail et nous pensons que ces problèmes sont résolus.

Nous n’avons malheureusement pas réussi à migrer le carnet d’adresses de l’ancien webmail automatiquement, mais nous avons écrit des instructions ici : http://www.herbesfolles.org/importer-son-carnet-dadresse-dans-le-nouveau-webmail/

N’hésitez pas à nous contacter en cas de soucis.

Pour accéder à l’ancien webmail, qui reste disponible, c’est là : https://squirrelmail.herbesfolles.org.

Listes de diffusion/diffusion mail

On a eu beaucoup de problèmes avec les listes de diffusion mails.

Actuellement :

  • la plupart des listes fonctionnent à nouveau
  • l’interface qui permet à leurs administrateurices de les configurer et de traiter les mails en attente était en panne. Nous pensons avoir résolu ce problème.
  • Il n’est plus possible de créer de nouvelle liste depuis l’interface d’administration. Nous ne pensons pas être capables de résoudre ce problème rapidement mais nous pourrons créer de nouvelles listes manuellement d’ici peu. Demandez-nous par mail.
  • Les utilisateurices d’adresses mail yahoo risquent d’avoir des problèmes pour utiliser les listes de discussion de notre serveur – la faute à une fonctionnalité activée par yahoo depuis le 8 avril, qui casse la compatibilité avec presque toutes les listes de discussion (sauf celles de yahoo et de google). C’est la super loose mais on ne peut rien y faire.

Au niveau du FTP

Le FTP, utilisé par les administrateur-ices de sites web hébergés par herbesfolles, avait cessé de fonctionner. Un utilisateur nous a remonté le problème et nous l’avons résolu le lendemain.

D’autres soucis ?

Si vous éprouvez d’autres difficultés, merci de nous écrire en nous décrivant le problème aussi précisément que possible. On ne peut pas résoudre les problèmes qu’on ne nous a pas signalés !

En vous remerciant pour votre patience,

Les admins d’herbesfolles.org

admins@herbesfolles.org