The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL

13.05.2008 23:11

Администраторы серверов проекта debian.org заблокировали все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.

Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости, связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей шифрования, например, ключей SSH, OpenVPN, DNSSEC, сертификатов X.509. Ключи сгенерированные при помощи GnuPG или GNUTLS не подвержены проблеме.

Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1). Была проведена чистка кода на предмет устранения предупреждений компилятора, что привело к избавлению от передачи неинициализированного блока памяти, но не учли, что по задумке разработчиков этот блок должен выступать в роли источника энтропии для генератора случайных чисел.

Более того, в OpenSSL реализации протокола DTLS (Datagram TLS, также известен как "SSL over UDP") найдена уязвимость, позволяющая злоумышленнику выполнить свой код.

  1. Главная ссылка к новости (http://lists.debian.org/debian...)
  2. Password recovery procedure
  3. DSA: New openssl packages fix predictable random number generator
  4. USN-612-1: OpenSSL vulnerability
  5. secunia.com: Debian OpenSSL Predictable Random Number Generator and Update
  6. О вреде valgrind - разбор причин возникновения проблемы
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/15846-debian
Ключевые слова: debian, openssl, ssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:33, 13/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только CentOS. Точка.
     
     
  • 2.2, vas (??), 23:52, 13/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Только CentOS. Точка.

    То, что не пишет про ЦентОС, не значит, что там нету уязвимостей. Тот факт, что уязвимость нашли и исправили является очень и очень положительным, что показывает, что работа ведется не покладая рук. За что респект. А красноглазие удел школьников.

     
     
  • 3.3, vas (??), 23:53, 13/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    не пишется*
     
  • 3.4, Аноним (-), 23:59, 13/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
     
     
  • 4.12, Аноним (12), 02:56, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.

    Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_ уровня. Ы?

     
     
  • 5.21, Анонимно (?), 11:31, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_
    >уровня. Ы?

    Слушайте, это даже не смешно.
    https://bugzilla.redhat.com/

     
  • 4.51, User294 (ok), 03:49, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.

    У дебианщиков сроду паранойя.Что в плане лицензий, что в плане секурити, что в плане стабильности, что вообще в ряде вопросов.Иногда даде нездоровая слегка.А вы не знали?Даже PoC никакого нет и не предвидится пока а дебианщики тупо перестраховались.Не вижу ничего плохого в перестраховке.А редхат, равно как и многие коммерческие компании вероятно не считают нужным кого-либо оповещать о своих внутренних проблемах, изменениях и прочая оставляя это сугубо для своих сотрудников.

     
  • 3.11, Michael Shigorin (ok), 01:42, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Только CentOS. Точка.

    Ни за какие коврижки.  Опять ткну пальцем в http://bugs.centos.org/view.php?id=2177 :-/

    >То, что не пишет про ЦентОС, не значит, что там нету уязвимостей.

    Вы не поняли.

    >Тот факт, что уязвимость нашли и исправили является очень и очень
    >положительным, что показывает, что работа ведется не покладая рук.

    Не покладающий рук майнтейнер openssl в дебиане попросту сломал пакет для себя, коллег по команде, а также и для всех производных Debian, включая Ubuntu аккурат перед LTS-выпуском.

    http://secunia.com/advisories/30220/
    http://secunia.com/advisories/30221/

    Лучше бы он руки... гм... положил хотя бы в тот день :-(

    PS: из соболезнования от соображений по поводу того, почему за себя радуюсь -- воздержусь.  Им теперь предстоит изрядный головняк по возвращению работоспособности инфраструктуры для людей :-(

     
     
  • 4.17, anonymous (??), 08:55, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А мейнтейнер не причем:
    http://marc.info/?l=openssl-dev&m=114652287210110&w=2
     
  • 4.20, Анонимно (?), 11:28, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ни за какие коврижки.  Опять ткну пальцем в http://bugs.centos.org/view.php?id=2177 :-/

    Обалдеть какой удачный пример.
    Дядька, если для вас глюк с железкой и блокировка всех аккаунтов это равнозначные ошибки, то тут уж не чего обсуждать.

     
     
  • 5.32, Имя (?), 14:31, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения за нецензурщину заранее.

    Господа, разницу почувствуйте? Debian - делают сами.
    CentOS - тырят у RHEL. Т.е господа приверженцы CentOS посмотрите на RHEL.

     
     
  • 6.34, none (??), 16:32, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    правильнее сказать ;) - собранный из открытых исходников РХЕЛа
     
  • 6.35, Анонимно (?), 17:14, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще не понял, что вы хотели этим сказать.

     
     
  • 7.37, User (??), 18:12, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    http://bugs.centos.org/view.php?id=1557
    И нет записи что проблема решена.
     
     
  • 8.54, Анонимно (?), 12:05, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    и ... текст свёрнут, показать
     
     
  • 9.56, Аноним (-), 14:04, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    То что Ваш CentOS тоже не без проблем Успокойтесь Все стараются решать проблем... текст свёрнут, показать
     
  • 6.36, Foxcool (ok), 17:51, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще живу под Fedora и мне хорошо... =)
     
     
  • 7.61, User294 (ok), 13:53, 25/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я вообще живу под Fedora и мне хорошо... =)

    Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый полигон редхата.

     
     
  • 8.62, geekkoo (??), 14:46, 26/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    There is a slight difference between the test-spot and the circus In the last c... текст свёрнут, показать
     
  • 2.50, User294 (ok), 03:45, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Только CentOS. Точка.

    Что-точка?А если в каком-то пакете оного окажется дырень(а пакетов много и это наверняка) - еще на что-то сваливать?В итоге вы так со всех ос свалите и уйдете улицы мести.А то вон даже в бсд нашли баг 25-летней :) давности.А у винды опять месячные вообще с критикал багами а не всякой фигней которая где-то там в теории может быть как-то юзабельна.И что?Лично мне центос не нравится.Довольно тупорылый халявный ripoff редхата.Что в нем хорошего?Кроме бесплатности в общем то ничего в нем такого и нет.Дебильный манагер пакетов RPM который редхат к тому же постоянно изволит перекореживать и с которым вечно что-то не так?Может энтерпрайз системы и получше но поюзав CentOS, Дебиан и Убунту мой выбор явно за debian-based.По удобству администрежа и вообще конфигурежки.А у убунтовых еще и направление развития предсказуемое и понятное и контора поддержкой занимается и даже нахаляву баги чинит.

     
     
  • 3.55, Анонимно (?), 12:09, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Неосилившему rpm:
    Пипец. Вот чем "конфигурежка" в Дебьяне отличается от "конфигурежки" в ЦентОС?
    Как она может быть лучше/хуже? Одни и те же пакеты, только в Дебьяне еще и траханина с железом на голову выше Редхата.
     
  • 3.57, Michael Shigorin (ok), 16:12, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ...ещё многое впереди ;)

    >мой выбор явно за debian-based.

    В свете темы -- где что корёжат, окромя как в редхате... вопрос... открытый.

    В дебиане поклоняются полиси и инструментарию, а не применяют здравый смысл по назначению; в убунте, как кто-то неплохо оформил:

    ---
    Лично мне не нужен Debian "пионэр эдишн" выходящий точно по графику,
    но с ошибками в инсталляторе, кучей багов в пакетах и т. д.
    ---

    >А у убунтовых еще и направление развития предсказуемое

    Возможно, это Вам так кажется.

     

  • 1.6, vitek (??), 00:10, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот, блин, новость
     
  • 1.7, PereresusNeVlezaetBuggy (ok), 00:27, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Респект админам. Без тени иронии.
     
  • 1.8, smn (??), 00:39, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    молодцы ребята. безопасность прежде всего!
     
  • 1.9, гость (?), 00:56, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Каким местом думал кретин, выкативший этот идиотский патч?!
    Как хорошо, что я всегда и везде использую lsh & GnuTLS...
     
  • 1.10, Аноним (10), 01:09, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А нет ли ссылки на конкретный патч, вызвавший проблемы?
     
     
  • 2.13, spinore (??), 03:11, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А нет ли ссылки на конкретный патч, вызвавший проблемы?

    Есть: https://www.pgpru.com/comment23189

     

  • 1.14, Аноним (12), 03:16, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дык как раз сегодня привалил апдейт по apt-get update / apt-get upgrade - там какраз это фиксится. Даже попросил sshd рестартануть ....
     
  • 1.15, pavlinux (ok), 04:38, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ХАЧУ эксплойту!!!
     
     
  • 2.16, sproot (ok), 07:14, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вам не положено, это только для детей :)
     

  • 1.18, Аноним (10), 09:39, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    молодцы ребята однозначно за то что ищут и за то говорят об этом открыто.
     
  • 1.19, fa (??), 10:55, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать по какому-то их подмножеству?


     
     
  • 2.24, Аноним (12), 12:05, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    zless /usr/share/doc/openssh-server/README.compromised-keys.gz
     
  • 2.58, guest (??), 11:02, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и
    >публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по
    >публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать
    >по какому-то их подмножеству?

    Ключи можно перебрать по подмножеству из примерно 260.000 вариантов. Обычная машина сделает за секунду.
    https://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebi

     

  • 1.22, Дмитрий Ю. Карпов (?), 11:59, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении какого-нибудь физического процесса. Идеальным является ядерный распад, т.к. ядра распадаются независимо друг от друга; но это опасно. Неплохо подходит измерение какой-нибудь физической величины (например, температуры) с высокой точностью и отброс старших цифр (можно ещё переставить цифры). А вообще, неплохо годится время запроса на генерацию случайного числа (тоже младшие цифры с точностью до тактов процессора).
     
     
  • 2.25, Аноним (12), 12:07, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    man urandom до просветления
     
  • 2.26, Гость (?), 12:11, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Гдето я слышал что в какихто процессорах интел, просто снимается помеха с какогото резистора для этих целей. Другое дело насколько случайны помехи на процессоре...
     
  • 2.30, Logo (ok), 14:04, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Апаратные существуют, но с ростом вычислительной мощности всеравно, ранше или позднее, приходит момент их предсказания.
     
  • 2.33, ilia kuliev (?), 15:58, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении

    Вы в своем репертуаре, Дмитрий.

     

  • 1.23, geekkoo (??), 12:03, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимости подвержен только openssl пакет входящий в состав Debian и
    >Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
    >некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
    >(начиная с версии пакета 0.9.8c-1).

    Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

     
     
  • 2.28, exn (??), 13:32, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

    +10000000000000000000

     
     
  • 3.29, exn (??), 13:33, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее даже будет сказать - пределывает все и вся только для своего дистрибутива.
     
  • 2.64, Michael Shigorin (ok), 18:03, 28/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Вот за что можноуважать Патрика Фолькердинга, так это за то, что он
    >не лезет внутрь сорцов грязными руками...

    Это грабли о двух концах.  Не знаю насчёт грязных (не встречался), но то, что рук у Патрика скорее две, чем двести -- предполагаю довольно уверенно.

    Слакварь за это ванильное свойство любят иные ленивые апстримы, которым влом принимать и интегрировать стороннюю разработку ;)

    В одном месте майнтейнер протупит, в другом -- апстрим... но не везде ж майнтейнеры только думают, что они умней апстрима.

     

  • 1.27, ZANSWER (??), 12:59, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эх... что-то не везёт Debian на узявимости, приводящие к неработоспособности их инфраструктуры...:(

    З.Ы. Радует, что административная практика защиты в таких случаях у них работает...:)

     
     
  • 2.31, Logo (ok), 14:06, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    У других не лучше, но они молчат.
     
     
  • 3.39, Аноним (12), 18:22, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Эт - точна! :)
     

  • 1.40, ZANSWER (??), 18:28, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
     
     
  • 2.42, Аноним (12), 18:44, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*

    закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает ? не ошибается только тот, кто ничего не делает. вот например ZANSWER тока на форумах может языком чесать, поэтому он никогда не ошибается. *BRAVO* ZANSWER, так держать ! :)

     
     
  • 3.43, geekkoo (??), 18:54, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
    >
    >закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает
    >? не ошибается только тот, кто ничего не делает. вот например
    >ZANSWER тока на форумах может языком чесать, поэтому он никогда не
    >ошибается. *BRAVO* ZANSWER, так держать ! :)

    Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.

     
     
  • 4.44, Andrey Mitrofanov (?), 18:59, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А то эти distribution-specific патчи
    >уже достали. В хорошем дистрибутиве все должно быть ванильным.

    "Возьмём хороший сферический дистрибутив в вакууме"...

     
     
  • 5.46, geekkoo (??), 19:15, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>"Возьмём хороший сферический дистрибутив в вакууме"...

    Не понял. Если есть патч, то что мешает отправите его разработчикам? Или просто разработчики отказываются его принимать?  А потом приходится с кислым видом повторять -"Не ошибается тот кто ничего не делает". По-моему, пусть уж лучше каждый занимается своим делом \

     
  • 4.45, Аноним (12), 19:10, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.

    полностью согласен, Вы абсолютно правы.
    И в данной ситуации, разработчики из debian как ответственные люди - обсуждали с разработчиками openssl это исправление, но вот в чём проблема - ни первые ни вторые, не заметили этой ошибки...

     
     
  • 5.48, PereresusNeVlezaetBuggy (ok), 20:14, 14/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
    >
    >полностью согласен, Вы абсолютно правы.
    >И в данной ситуации, разработчики из debian как ответственные люди - обсуждали
    >с разработчиками openssl это исправление, но вот в чём проблема -
    >ни первые ни вторые, не заметили этой ошибки...

    Насколько я понял, там всё малость сложнее (и тупее)...

    В Debian натравливают valgrind на OpenSSL. Тот ругается на строчку, связанную с чтением из неинициализированной области памяти. Недолго думая, в Debian строчку комментируют, и отсылают патчег в OpenSSL. Разработчики OpenSSL говорят, что патч некорректен, и через какое-то время делают свой фикс, не затрагивающий строчку, фигурировавшую в изначальном патче.

    Фактически PRNG в OpenSSL использует различные методы для увеличения энтропии, и один из них - чтение неинициализированной части стека. Прошу заметить: не в качестве единственного или основного метода, а в дополнение к другим, т.е., энтропия от этого не ухудшалась в любом случае. В Debian своим патчем затронули не только этот метод, но и результаты работы остальных методов... со всеми (ныне) вытекающими.

    Так что ошибка была замечена, но OpenSSL-разработчики не стали утруждать себя информированием о том, _почему_ исходный патч был некорректен, ну а Debian-овцы, положившись на valgrind ("миллионы мух не могут ошибаться!"), в итоге лажанулись.

    Тем не менее, как уже было не раз сказано, в Debian свои ошибки не побоялись открыто признать и оперативно исправить, и за это их _администраторов_ нельзя не уважать.

    BTW: http://daniel.molkentin.de/blog/archives/118-On-the-topic-of-recent-PRNG-disc

     
  • 2.53, Аноним (-), 08:44, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.links.org/?p=328
     
     
  • 3.60, Аноним (-), 04:20, 17/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >http://www.links.org/?p=328

    Там есть ссылка на оригинальное обсуждение
    http://marc.info/?t=114651088900003&r=1&w=2

    И имя благодетеля
      Kurt Roeckx <kurt () roeckx ! be>

     

  • 1.41, vehn (??), 18:38, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ..всегда относился с достаточной долей сомнительности к привычке дебианистов накладывать патчи на всё и вся. Собственно, за что боролись, на то и напоролись. Хорошо хоть оперативно решают.
     
  • 1.47, Аноним (12), 19:31, 14/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не смогут автоматически обнаружить такие ключи на своих серверах.
    Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа по ключу. Ждём сообщений о взломах :)
     
     
  • 2.49, Акфтл (?), 00:16, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци
    >вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не
    >смогут автоматически обнаружить такие ключи на своих серверах.
    >Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа
    >по ключу. Ждём сообщений о взломах :)

    Если подумать, то это вряд ли. Вероятно, уязвимости подвержены debian-based сервера, у которых уязвимые хост-ключи, и у которых можно получить юзерский public key (именно юзера этого же сервера, генерённый на этом серваке). Я не думаю, что сервер без уязвимости подвержен опасности при использовании "слабого" публичного ключа для доступа к такому серверу.

     

  • 1.59, geekkoo (??), 16:38, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >[оверквотинг удален]
    >Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg00152.html), связанной
    >с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую
    >злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного
    >шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и
    >Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
    >некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
    >(начиная с версии пакета 0.9.8c-1).
    >
    >URL: http://lists.debian.org/debian-devel-announce/2008/05/msg00003.html
    >Новость: http://www.opennet.ru/opennews/art.shtml?num=15846

    Рекламный слоган: Debian - you can never be sure!

    http://img502.imageshack.us/img502/2996/pmeo9hcjp7aw9.jpg

     
     
  • 2.63, Michael Shigorin (ok), 17:58, 28/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    http://openwall.com/lists/oss-security/2008/05/27/3
     

  • 1.65, Sol (?), 12:28, 30/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
     
     
  • 2.66, Pilat (ok), 02:03, 18/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
    >

    В своём репертуаре программисты openssl, не написавшие комментарии.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру