Dziurawy OpenSSL w Debianie

Submitted by Paweł Krawczyk on śr., 2008-05-14 08:28

W bibliotece OpenSSL w projekcie Debian GNU/Linux wykryto poważny błąd w implementacji generatora liczb losowych. W praktyce wszystkie wygenerowane za jej pomocą klucze kryptograficzne są przewidywalne i powinny być zainicjalizowane ponownie.

Problem dotyczy dystrybucji Debian GNU/Linux oraz Ubuntu, ponieważ podatność została wprowadzona przez patch stosowany tylko w tych dystrybucjach. Pojawił się on w dystrybucji unstable 17 września 2006, a następnie
stopniowo zostały przeniesione do testing i etch. Pakiety w dystrybucji
sarge nie zawierają podatności. Podatność istnieje w debianowych wersjach pakietu openssl od 0.9.8c-1 do 0.9.8g-9. Brak podatności w swojej dystrybucji potwierdził m.in. Redhat.

Administratorzy systemów opartych o Debiana powinni jak najszybciej zaktualizować system (np. przez apt-get update) oraz ponownie wygenerować klucze kryptograficzne dla wszystkich usług, dla których wygenerowano je za pomocą podatnych wersji OpenSSL.

Więcej informacji:


Odpowiedzi

Opcje wyświetlania odpowiedzi

Wybierz preferowany sposób wyświetlania odpowiedzi i kliknij "Zapisz ustawienia" by wprowadzić zmiany.

Pojawiły się już exploity i narzędzia do wyszukiwania:

http://metasploit.com/users/hdm/tools/debian-openssl/

Submitted by admin on pt., 2008-05-16 23:51.

Podatne są m.in. klucze ssh (serwera i użytkowników). Można to przebadać narzędziem ssh-vulnkey: http://www.ducea.com/2008/05/14/ssh-vulnkey-a/

Natomiast nie trzeba się martwić (póki co) o klucze GnuPG.

Submitted by amicke on pt., 2008-05-16 11:46.

Dodaj nową odpowiedź

Zawartość tego pola nie będzie udostępniana publicznie. If you have a Gravatar account, used to display your avatar.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <table> <tr> <td> <th> <pre> <blockquote>
  • LaTex commands embedded in text will be interpreted and rendered. Additional information can be found at DruTex Documentation Pages
    • Line and paragraphs break automatically.
    • Assists automatic numbering of tex, equation, and equations environments.
    • Provides different environments to create rendered images (especially maths).
    • Znaki końca linii i akapitu dodawane są automatycznie.
    • Adresy internetowe są automatycznie zamieniane w klikalne odnośniki.
    • E-Mail addresses are hidden with reCAPTCHA Mailhide.

    Więcej informacji na temat formatowania

    CAPTCHA
    Poniższy test chroni przed automatami spammerskimi.