The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от opennews (??) on 13-Май-08, 23:33 
Администраторы серверов проекта debian.org заблокировали (http://lists.debian.org/debian-devel-announce/2008/05/msg000...) все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.


Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg001...), связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1).

URL: http://lists.debian.org/debian-devel-announce/2008/05/msg000...
Новость: https://www.opennet.ru/opennews/art.shtml?num=15846

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 13-Май-08, 23:33 
Только CentOS. Точка.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от vas (??) on 13-Май-08, 23:52 
>Только CentOS. Точка.

То, что не пишет про ЦентОС, не значит, что там нету уязвимостей. Тот факт, что уязвимость нашли и исправили является очень и очень положительным, что показывает, что работа ведется не покладая рук. За что респект. А красноглазие удел школьников.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от vas (??) on 13-Май-08, 23:53 
не пишется*
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 13-Май-08, 23:59 
Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 02:56 
>Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.

Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_ уровня. Ы?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Анонимно on 14-Май-08, 11:31 
>Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_
>уровня. Ы?

Слушайте, это даже не смешно.
https://bugzilla.redhat.com/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от User294 (ok) on 15-Май-08, 03:49 
>Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.

У дебианщиков сроду паранойя.Что в плане лицензий, что в плане секурити, что в плане стабильности, что вообще в ряде вопросов.Иногда даде нездоровая слегка.А вы не знали?Даже PoC никакого нет и не предвидится пока а дебианщики тупо перестраховались.Не вижу ничего плохого в перестраховке.А редхат, равно как и многие коммерческие компании вероятно не считают нужным кого-либо оповещать о своих внутренних проблемах, изменениях и прочая оставляя это сугубо для своих сотрудников.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Michael Shigorin email(ok) on 14-Май-08, 01:42 
>>Только CentOS. Точка.

Ни за какие коврижки.  Опять ткну пальцем в http://bugs.centos.org/view.php?id=2177 :-/

>То, что не пишет про ЦентОС, не значит, что там нету уязвимостей.

Вы не поняли.

>Тот факт, что уязвимость нашли и исправили является очень и очень
>положительным, что показывает, что работа ведется не покладая рук.

Не покладающий рук майнтейнер openssl в дебиане попросту сломал пакет для себя, коллег по команде, а также и для всех производных Debian, включая Ubuntu аккурат перед LTS-выпуском.

http://secunia.com/advisories/30220/
http://secunia.com/advisories/30221/

Лучше бы он руки... гм... положил хотя бы в тот день :-(

PS: из соболезнования от соображений по поводу того, почему за себя радуюсь -- воздержусь.  Им теперь предстоит изрядный головняк по возвращению работоспособности инфраструктуры для людей :-(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от anonymous (??) on 14-Май-08, 08:55 
А мейнтейнер не причем:
http://marc.info/?l=openssl-dev&m=114652287210110&w=2
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Анонимно on 14-Май-08, 11:28 
>Ни за какие коврижки.  Опять ткну пальцем в http://bugs.centos.org/view.php?id=2177 :-/

Обалдеть какой удачный пример.
Дядька, если для вас глюк с железкой и блокировка всех аккаунтов это равнозначные ошибки, то тут уж не чего обсуждать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Имя on 14-Май-08, 14:31 
Прошу прощения за нецензурщину заранее.

Господа, разницу почувствуйте? Debian - делают сами.
CentOS - тырят у RHEL. Т.е господа приверженцы CentOS посмотрите на RHEL.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от none (??) on 14-Май-08, 16:32 
правильнее сказать ;) - собранный из открытых исходников РХЕЛа
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Анонимно on 14-Май-08, 17:14 
Вообще не понял, что вы хотели этим сказать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от User (??) on 14-Май-08, 18:12 
http://bugs.centos.org/view.php?id=1557
И нет записи что проблема решена.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Анонимно on 15-Май-08, 12:05 
и?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Аноним (??) on 15-Май-08, 14:04 
То что Ваш CentOS тоже не без проблем.
Успокойтесь. Все стараются решать проблемы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от Foxcool (ok) on 14-Май-08, 17:51 
Я вообще живу под Fedora и мне хорошо... =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от User294 (ok) on 25-Май-08, 13:53 
>Я вообще живу под Fedora и мне хорошо... =)

Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый полигон редхата.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "какой нафиг centos... какая нафиг работа... вы о чём :("  
Сообщение от geekkoo email(??) on 26-Май-08, 14:46 
>>Я вообще живу под Fedora и мне хорошо... =)
>
>Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый
>полигон редхата.

There is a slight difference between the test-spot and the circus. In the last case you are likely to act as a clown.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от User294 (ok) on 15-Май-08, 03:45 
>Только CentOS. Точка.

Что-точка?А если в каком-то пакете оного окажется дырень(а пакетов много и это наверняка) - еще на что-то сваливать?В итоге вы так со всех ос свалите и уйдете улицы мести.А то вон даже в бсд нашли баг 25-летней :) давности.А у винды опять месячные вообще с критикал багами а не всякой фигней которая где-то там в теории может быть как-то юзабельна.И что?Лично мне центос не нравится.Довольно тупорылый халявный ripoff редхата.Что в нем хорошего?Кроме бесплатности в общем то ничего в нем такого и нет.Дебильный манагер пакетов RPM который редхат к тому же постоянно изволит перекореживать и с которым вечно что-то не так?Может энтерпрайз системы и получше но поюзав CentOS, Дебиан и Убунту мой выбор явно за debian-based.По удобству администрежа и вообще конфигурежки.А у убунтовых еще и направление развития предсказуемое и понятное и контора поддержкой занимается и даже нахаляву баги чинит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Анонимно on 15-Май-08, 12:09 
Неосилившему rpm:
Пипец. Вот чем "конфигурежка" в Дебьяне отличается от "конфигурежки" в ЦентОС?
Как она может быть лучше/хуже? Одни и те же пакеты, только в Дебьяне еще и траханина с железом на голову выше Редхата.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "'но поюзав CentOS, Дебиан и Убунту'..."  
Сообщение от Michael Shigorin email(ok) on 15-Май-08, 16:12 
...ещё многое впереди ;)

>мой выбор явно за debian-based.

В свете темы -- где что корёжат, окромя как в редхате... вопрос... открытый.

В дебиане поклоняются полиси и инструментарию, а не применяют здравый смысл по назначению; в убунте, как кто-то неплохо оформил:

---
Лично мне не нужен Debian "пионэр эдишн" выходящий точно по графику,
но с ошибками в инсталляторе, кучей багов в пакетах и т. д.
---

>А у убунтовых еще и направление развития предсказуемое

Возможно, это Вам так кажется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от vitek (??) on 14-Май-08, 00:10 
вот, блин, новость
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 14-Май-08, 00:27 
Респект админам. Без тени иронии.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от smn (??) on 14-Май-08, 00:39 
молодцы ребята. безопасность прежде всего!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от гость on 14-Май-08, 00:56 
Каким местом думал кретин, выкативший этот идиотский патч?!
Как хорошо, что я всегда и везде использую lsh & GnuTLS...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 01:09 
А нет ли ссылки на конкретный патч, вызвавший проблемы?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от spinore (??) on 14-Май-08, 03:11 
>А нет ли ссылки на конкретный патч, вызвавший проблемы?

Есть: https://www.pgpru.com/comment23189

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 03:16 
Дык как раз сегодня привалил апдейт по apt-get update / apt-get upgrade - там какраз это фиксится. Даже попросил sshd рестартануть ....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от pavlinux email(ok) on 14-Май-08, 04:38 
ХАЧУ эксплойту!!!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от sproot (ok) on 14-Май-08, 07:14 
Вам не положено, это только для детей :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 09:39 
молодцы ребята однозначно за то что ищут и за то говорят об этом открыто.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от fa email(??) on 14-Май-08, 10:55 
Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать по какому-то их подмножеству?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от Аноним (??) on 14-Май-08, 12:05 
zless /usr/share/doc/openssh-server/README.compromised-keys.gz
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от guest (??) on 16-Май-08, 11:02 
>Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и
>публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по
>публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать
>по какому-то их подмножеству?

Ключи можно перебрать по подмножеству из примерно 260.000 вариантов. Обычная машина сделает за секунду.
https://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezo...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Дмитрий Ю. Карпов on 14-Май-08, 11:59 
Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении какого-нибудь физического процесса. Идеальным является ядерный распад, т.к. ядра распадаются независимо друг от друга; но это опасно. Неплохо подходит измерение какой-нибудь физической величины (например, температуры) с высокой точностью и отброс старших цифр (можно ещё переставить цифры). А вообще, неплохо годится время запроса на генерацию случайного числа (тоже младшие цифры с точностью до тактов процессора).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 12:07 
man urandom до просветления
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Гость on 14-Май-08, 12:11 
Гдето я слышал что в какихто процессорах интел, просто снимается помеха с какогото резистора для этих целей. Другое дело насколько случайны помехи на процессоре...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Logo (ok) on 14-Май-08, 14:04 
Апаратные существуют, но с ростом вычислительной мощности всеравно, ранше или позднее, приходит момент их предсказания.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от ilia kuliev on 14-Май-08, 15:58 
>Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении

Вы в своем репертуаре, Дмитрий.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от geekkoo email(??) on 14-Май-08, 12:03 
> Уязвимости подвержен только openssl пакет входящий в состав Debian и
>Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
>некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
>(начиная с версии пакета 0.9.8c-1).

Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от exn (??) on 14-Май-08, 13:32 
>Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

+10000000000000000000

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от exn (??) on 14-Май-08, 13:33 
Точнее даже будет сказать - пределывает все и вся только для своего дистрибутива.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "(offtopic) vanilla"  
Сообщение от Michael Shigorin email(ok) on 28-Май-08, 18:03 
>Вот за что можноуважать Патрика Фолькердинга, так это за то, что он
>не лезет внутрь сорцов грязными руками...

Это грабли о двух концах.  Не знаю насчёт грязных (не встречался), но то, что рук у Патрика скорее две, чем двести -- предполагаю довольно уверенно.

Слакварь за это ванильное свойство любят иные ленивые апстримы, которым влом принимать и интегрировать стороннюю разработку ;)

В одном месте майнтейнер протупит, в другом -- апстрим... но не везде ж майнтейнеры только думают, что они умней апстрима.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от ZANSWER email(??) on 14-Май-08, 12:59 
Эх... что-то не везёт Debian на узявимости, приводящие к неработоспособности их инфраструктуры...:(

З.Ы. Радует, что административная практика защиты в таких случаях у них работает...:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Logo (ok) on 14-Май-08, 14:06 
У других не лучше, но они молчат.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 18:22 
Эт - точна! :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от ZANSWER email(??) on 14-Май-08, 18:28 
Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 18:44 
> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*

закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает ? не ошибается только тот, кто ничего не делает. вот например ZANSWER тока на форумах может языком чесать, поэтому он никогда не ошибается. *BRAVO* ZANSWER, так держать ! :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от geekkoo email(??) on 14-Май-08, 18:54 
>> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
>
>закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает
>? не ошибается только тот, кто ничего не делает. вот например
>ZANSWER тока на форумах может языком чесать, поэтому он никогда не
>ошибается. *BRAVO* ZANSWER, так держать ! :)

Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "чтобы похудеть, ешьте вот это. и побольше!"  
Сообщение от Andrey Mitrofanov on 14-Май-08, 18:59 
>А то эти distribution-specific патчи
>уже достали. В хорошем дистрибутиве все должно быть ванильным.

"Возьмём хороший сферический дистрибутив в вакууме"...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "чтобы похудеть, ешьте вот это. и побольше!"  
Сообщение от geekkoo email(??) on 14-Май-08, 19:15 
>>"Возьмём хороший сферический дистрибутив в вакууме"...

Не понял. Если есть патч, то что мешает отправите его разработчикам? Или просто разработчики отказываются его принимать?  А потом приходится с кислым видом повторять -"Не ошибается тот кто ничего не делает". По-моему, пусть уж лучше каждый занимается своим делом \

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 19:10 
> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.

полностью согласен, Вы абсолютно правы.
И в данной ситуации, разработчики из debian как ответственные люди - обсуждали с разработчиками openssl это исправление, но вот в чём проблема - ни первые ни вторые, не заметили этой ошибки...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 14-Май-08, 20:14 
>> Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.
>
>полностью согласен, Вы абсолютно правы.
>И в данной ситуации, разработчики из debian как ответственные люди - обсуждали
>с разработчиками openssl это исправление, но вот в чём проблема -
>ни первые ни вторые, не заметили этой ошибки...

Насколько я понял, там всё малость сложнее (и тупее)...

В Debian натравливают valgrind на OpenSSL. Тот ругается на строчку, связанную с чтением из неинициализированной области памяти. Недолго думая, в Debian строчку комментируют, и отсылают патчег в OpenSSL. Разработчики OpenSSL говорят, что патч некорректен, и через какое-то время делают свой фикс, не затрагивающий строчку, фигурировавшую в изначальном патче.

Фактически PRNG в OpenSSL использует различные методы для увеличения энтропии, и один из них - чтение неинициализированной части стека. Прошу заметить: не в качестве единственного или основного метода, а в дополнение к другим, т.е., энтропия от этого не ухудшалась в любом случае. В Debian своим патчем затронули не только этот метод, но и результаты работы остальных методов... со всеми (ныне) вытекающими.

Так что ошибка была замечена, но OpenSSL-разработчики не стали утруждать себя информированием о том, _почему_ исходный патч был некорректен, ну а Debian-овцы, положившись на valgrind ("миллионы мух не могут ошибаться!"), в итоге лажанулись.

Тем не менее, как уже было не раз сказано, в Debian свои ошибки не побоялись открыто признать и оперативно исправить, и за это их _администраторов_ нельзя не уважать.

BTW: http://daniel.molkentin.de/blog/archives/118-On-the-topic-of...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 15-Май-08, 08:44 
http://www.links.org/?p=328
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 17-Май-08, 04:20 
>http://www.links.org/?p=328

Там есть ссылка на оригинальное обсуждение
http://marc.info/?t=114651088900003&r=1&w=2

И имя благодетеля
  Kurt Roeckx <kurt () roeckx ! be>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от vehn (??) on 14-Май-08, 18:38 
..всегда относился с достаточной долей сомнительности к привычке дебианистов накладывать патчи на всё и вся. Собственно, за что боролись, на то и напоролись. Хорошо хоть оперативно решают.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Аноним (??) on 14-Май-08, 19:31 
Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не смогут автоматически обнаружить такие ключи на своих серверах.
Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа по ключу. Ждём сообщений о взломах :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Акфтл on 15-Май-08, 00:16 
>Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци
>вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не
>смогут автоматически обнаружить такие ключи на своих серверах.
>Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа
>по ключу. Ждём сообщений о взломах :)

Если подумать, то это вряд ли. Вероятно, уязвимости подвержены debian-based сервера, у которых уязвимые хост-ключи, и у которых можно получить юзерский public key (именно юзера этого же сервера, генерённый на этом серваке). Я не думаю, что сервер без уязвимости подвержен опасности при использовании "слабого" публичного ключа для доступа к такому серверу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "OpenNews: Аккаунты на серверах debian.org заблокированы из-з..."  
Сообщение от geekkoo email(??) on 16-Май-08, 16:38 
>[оверквотинг удален]
>Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg001...), связанной
>с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую
>злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного
>шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и
>Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
>некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
>(начиная с версии пакета 0.9.8c-1).
>
>URL: http://lists.debian.org/debian-devel-announce/2008/05/msg000...
>Новость: https://www.opennet.ru/opennews/art.shtml?num=15846

Рекламный слоган: Debian - you can never be sure!

http://img502.imageshack.us/img502/2996/pmeo9hcjp7aw9.jpg

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "блокирование слабых ключей 'на лету'"  
Сообщение от Michael Shigorin email(ok) on 28-Май-08, 17:58 
http://openwall.com/lists/oss-security/2008/05/27/3
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Sol email on 30-Май-08, 12:28 
Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Аккаунты на серверах debian.org заблокированы из-за уязвимос..."  
Сообщение от Pilat email(ok) on 18-Июн-08, 02:03 
>Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
>

В своём репертуаре программисты openssl, не написавшие комментарии.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру