The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.05.2008 23:11  Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL

Администраторы серверов проекта debian.org заблокировали все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.

Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости, связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей шифрования, например, ключей SSH, OpenVPN, DNSSEC, сертификатов X.509. Ключи сгенерированные при помощи GnuPG или GNUTLS не подвержены проблеме.

Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1). Была проведена чистка кода на предмет устранения предупреждений компилятора, что привело к избавлению от передачи неинициализированного блока памяти, но не учли, что по задумке разработчиков этот блок должен выступать в роли источника энтропии для генератора случайных чисел.

Более того, в OpenSSL реализации протокола DTLS (Datagram TLS, также известен как "SSL over UDP") найдена уязвимость, позволяющая злоумышленнику выполнить свой код.

  1. Главная ссылка к новости (http://lists.debian.org/debian...)
  2. Password recovery procedure
  3. DSA: New openssl packages fix predictable random number generator
  4. USN-612-1: OpenSSL vulnerability
  5. secunia.com: Debian OpenSSL Predictable Random Number Generator and Update
  6. О вреде valgrind - разбор причин возникновения проблемы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: debian, openssl, ssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 23:33, 13/05/2008 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Только CentOS. Точка.
     
     
  • 2.2, vas (??), 23:52, 13/05/2008 [^] [ответить]     [к модератору]
  • +/
    То, что не пишет про ЦентОС, не значит, что там нету уязвимостей Тот факт, что ... весь текст скрыт [показать]
     
     
  • 3.3, vas (??), 23:53, 13/05/2008 [^] [ответить]    [к модератору]  
  • +/
    не пишется*
     
  • 3.4, Аноним (-), 23:59, 13/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
     
     
  • 4.12, Аноним (12), 02:56, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.

    Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_ уровня. Ы?

     
     
  • 5.21, Анонимно (?), 11:31, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _такого_
    >уровня. Ы?

    Слушайте, это даже не смешно.
    https://bugzilla.redhat.com/

     
  • 4.51, User294 (ok), 03:49, 15/05/2008 [^] [ответить]     [к модератору]  
  • +/
    У дебианщиков сроду паранойя Что в плане лицензий, что в плане секурити, что в п... весь текст скрыт [показать]
     
  • 3.11, Michael Shigorin (ok), 01:42, 14/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Ни за какие коврижки Опять ткну пальцем в http bugs centos org view php id 2... весь текст скрыт [показать]
     
     
  • 4.17, anonymous (??), 08:55, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    А мейнтейнер не причем:
    http://marc.info/?l=openssl-dev&m=114652287210110&w=2
     
  • 4.20, Анонимно (?), 11:28, 14/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Обалдеть какой удачный пример Дядька, если для вас глюк с железкой и блокировка... весь текст скрыт [показать]
     
     
  • 5.32, Имя (?), 14:31, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Прошу прощения за нецензурщину заранее.

    Господа, разницу почувствуйте? Debian - делают сами.
    CentOS - тырят у RHEL. Т.е господа приверженцы CentOS посмотрите на RHEL.

     
     
  • 6.34, none (??), 16:32, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    правильнее сказать ;) - собранный из открытых исходников РХЕЛа
     
  • 6.35, Анонимно (?), 17:14, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Вообще не понял, что вы хотели этим сказать.

     
     
  • 7.37, User (??), 18:12, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    http://bugs.centos.org/view.php?id=1557
    И нет записи что проблема решена.
     
     
  • 8.54, Анонимно (?), 12:05, 15/05/2008 [^] [ответить]    [к модератору]  
  • +/
    и?
     
     
  • 9.56, Аноним (-), 14:04, 15/05/2008 [^] [ответить]    [к модератору]  
  • +/
    То что Ваш CentOS тоже не без проблем.
    Успокойтесь. Все стараются решать проблемы.
     
  • 6.36, Foxcool (ok), 17:51, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Я вообще живу под Fedora и мне хорошо... =)
     
     
  • 7.61, User294 (ok), 13:53, 25/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >Я вообще живу под Fedora и мне хорошо... =)

    Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый полигон редхата.

     
     
  • 8.62, geekkoo (??), 14:46, 26/05/2008 [^] [ответить]     [к модератору]  
  • +/
    There is a slight difference between the test-spot and the circus In the last c... весь текст скрыт [показать]
     
  • 2.50, User294 (ok), 03:45, 15/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Что-точка А если в каком-то пакете оного окажется дырень а пакетов много и это н... весь текст скрыт [показать]
     
     
  • 3.55, Анонимно (?), 12:09, 15/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Неосилившему rpm Пипец Вот чем конфигурежка в Дебьяне отличается от конфигу... весь текст скрыт [показать]
     
  • 3.57, Michael Shigorin (ok), 16:12, 15/05/2008 [^] [ответить]     [к модератору]  
  • +/
    ещё многое впереди В свете темы -- где что корёжат, окромя как в редхате ... весь текст скрыт [показать]
     
  • 1.6, vitek (??), 00:10, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вот, блин, новость
     
  • 1.7, PereresusNeVlezaetBuggy (ok), 00:27, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Респект админам. Без тени иронии.
     
  • 1.8, smn (??), 00:39, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    молодцы ребята. безопасность прежде всего!
     
  • 1.9, гость (?), 00:56, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Каким местом думал кретин, выкативший этот идиотский патч?!
    Как хорошо, что я всегда и везде использую lsh & GnuTLS...
     
  • 1.10, Аноним (10), 01:09, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А нет ли ссылки на конкретный патч, вызвавший проблемы?
     
     
  • 2.13, spinore (??), 03:11, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >А нет ли ссылки на конкретный патч, вызвавший проблемы?

    Есть: https://www.pgpru.com/comment23189

     
  • 1.14, Аноним (12), 03:16, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дык как раз сегодня привалил апдейт по apt-get update / apt-get upgrade - там какраз это фиксится. Даже попросил sshd рестартануть ....
     
  • 1.15, pavlinux (ok), 04:38, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ХАЧУ эксплойту!!!
     
     
  • 2.16, sproot (ok), 07:14, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Вам не положено, это только для детей :)
     
  • 1.18, Аноним (10), 09:39, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    молодцы ребята однозначно за то что ищут и за то говорят об этом открыто.
     
  • 1.19, fa (??), 10:55, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать по какому-то их подмножеству?


     
     
  • 2.24, Аноним (12), 12:05, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    zless /usr/share/doc/openssh-server/README.compromised-keys.gz
     
  • 2.58, guest (??), 11:02, 16/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Ключи можно перебрать по подмножеству из примерно 260 000 вариантов Обычная маш... весь текст скрыт [показать]
     
  • 1.22, Дмитрий Ю. Карпов (?), 11:59, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении какого-нибудь физического процесса. Идеальным является ядерный распад, т.к. ядра распадаются независимо друг от друга; но это опасно. Неплохо подходит измерение какой-нибудь физической величины (например, температуры) с высокой точностью и отброс старших цифр (можно ещё переставить цифры). А вообще, неплохо годится время запроса на генерацию случайного числа (тоже младшие цифры с точностью до тактов процессора).
     
     
  • 2.25, Аноним (12), 12:07, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    man urandom до просветления
     
  • 2.26, Гость (?), 12:11, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Гдето я слышал что в какихто процессорах интел, просто снимается помеха с какогото резистора для этих целей. Другое дело насколько случайны помехи на процессоре...
     
  • 2.30, Logo (ok), 14:04, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Апаратные существуют, но с ростом вычислительной мощности всеравно, ранше или позднее, приходит момент их предсказания.
     
  • 2.33, ilia kuliev (?), 15:58, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении

    Вы в своем репертуаре, Дмитрий.

     
  • 1.23, geekkoo (??), 12:03, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Уязвимости подвержен только openssl пакет входящий в состав Debian и
    >Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
    >некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
    >(начиная с версии пакета 0.9.8c-1).

    Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

     
     
  • 2.28, exn (??), 13:32, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

    +10000000000000000000

     
     
  • 3.29, exn (??), 13:33, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Точнее даже будет сказать - пределывает все и вся только для своего дистрибутива.
     
  • 2.64, Michael Shigorin (ok), 18:03, 28/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Это грабли о двух концах Не знаю насчёт грязных не встречался , но то, что ру... весь текст скрыт [показать]
     
  • 1.27, ZANSWER (??), 12:59, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эх... что-то не везёт Debian на узявимости, приводящие к неработоспособности их инфраструктуры...:(

    З.Ы. Радует, что административная практика защиты в таких случаях у них работает...:)

     
     
  • 2.31, Logo (ok), 14:06, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    У других не лучше, но они молчат.
     
     
  • 3.39, Аноним (12), 18:22, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    Эт - точна! :)
     
  • 1.40, ZANSWER (??), 18:28, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
     
     
  • 2.42, Аноним (12), 18:44, 14/05/2008 [^] [ответить]     [к модератору]  
  • +/
    закоментировал - для удобства отладки ну ошибся человек, с кем не бывает не о... весь текст скрыт [показать]
     
     
  • 3.43, geekkoo (??), 18:54, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >> Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
    >
    >закоментировал - для удобства отладки. ну ошибся человек, с кем не бывает
    >? не ошибается только тот, кто ничего не делает. вот например
    >ZANSWER тока на форумах может языком чесать, поэтому он никогда не
    >ошибается. *BRAVO* ZANSWER, так держать ! :)

    Если есть патч - шли его разработчикам. А то эти distribution-specific патчи уже достали. В хорошем дистрибутиве все должно быть ванильным.

     
     
  • 4.44, Andrey Mitrofanov (?), 18:59, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >А то эти distribution-specific патчи
    >уже достали. В хорошем дистрибутиве все должно быть ванильным.

    "Возьмём хороший сферический дистрибутив в вакууме"...

     
     
  • 5.46, geekkoo (??), 19:15, 14/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >>"Возьмём хороший сферический дистрибутив в вакууме"...

    Не понял. Если есть патч, то что мешает отправите его разработчикам? Или просто разработчики отказываются его принимать?  А потом приходится с кислым видом повторять -"Не ошибается тот кто ничего не делает". По-моему, пусть уж лучше каждый занимается своим делом \

     
  • 4.45, Аноним (12), 19:10, 14/05/2008 [^] [ответить]     [к модератору]  
  • +/
    полностью согласен, Вы абсолютно правы И в данной ситуации, разработчики из deb... весь текст скрыт [показать]
     
     
  • 5.48, PereresusNeVlezaetBuggy (ok), 20:14, 14/05/2008 [^] [ответить]     [к модератору]  
  • +/
    Насколько я понял, там всё малость сложнее и тупее В Debian натравливают va... весь текст скрыт [показать]
     
  • 2.53, Аноним (-), 08:44, 15/05/2008 [^] [ответить]    [к модератору]  
  • +/
    http://www.links.org/?p=328
     
     
  • 3.60, Аноним (-), 04:20, 17/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >http://www.links.org/?p=328

    Там есть ссылка на оригинальное обсуждение
    http://marc.info/?t=114651088900003&r=1&w=2

    И имя благодетеля
      Kurt Roeckx <kurt () roeckx ! be>

     
  • 1.41, vehn (??), 18:38, 14/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ..всегда относился с достаточной долей сомнительности к привычке дебианистов накладывать патчи на всё и вся. Собственно, за что боролись, на то и напоролись. Хорошо хоть оперативно решают.
     
  • 1.47, Аноним (12), 19:31, 14/05/2008 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Дырки в пакете дебиана, а пострадают - редхатовцы Потому, что дебиановци вытр... весь текст скрыт [показать]
     
     
  • 2.49, Акфтл (?), 00:16, 15/05/2008 [^] [ответить]    [к модератору]  
  • +/
    >Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци
    >вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не
    >смогут автоматически обнаружить такие ключи на своих серверах.
    >Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа
    >по ключу. Ждём сообщений о взломах :)

    Если подумать, то это вряд ли. Вероятно, уязвимости подвержены debian-based сервера, у которых уязвимые хост-ключи, и у которых можно получить юзерский public key (именно юзера этого же сервера, генерённый на этом серваке). Я не думаю, что сервер без уязвимости подвержен опасности при использовании "слабого" публичного ключа для доступа к такому серверу.

     
  • 1.59, geekkoo (??), 16:38, 16/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >[оверквотинг удален]
    >Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg00152.html), связанной
    >с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую
    >злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного
    >шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и
    >Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
    >некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
    >(начиная с версии пакета 0.9.8c-1).
    >
    >URL: http://lists.debian.org/debian-devel-announce/2008/05/msg00003.html
    >Новость: https://www.opennet.ru/opennews/art.shtml?num=15846

    Рекламный слоган: Debian - you can never be sure!

    http://img502.imageshack.us/img502/2996/pmeo9hcjp7aw9.jpg

     
     
  • 2.63, Michael Shigorin (ok), 17:58, 28/05/2008 [^] [ответить]    [к модератору]  
  • +/
    http://openwall.com/lists/oss-security/2008/05/27/3
     
  • 1.65, Sol (?), 12:28, 30/05/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
     
     
  • 2.66, Pilat (ok), 02:03, 18/06/2008 [^] [ответить]    [к модератору]  
  • +/
    >Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
    >

    В своём репертуаре программисты openssl, не написавшие комментарии.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor