The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.05.2008 23:11  Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL

Администраторы серверов проекта debian.org заблокировали все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.

Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости, связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей шифрования, например, ключей SSH, OpenVPN, DNSSEC, сертификатов X.509. Ключи сгенерированные при помощи GnuPG или GNUTLS не подвержены проблеме.

Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1). Была проведена чистка кода на предмет устранения предупреждений компилятора, что привело к избавлению от передачи неинициализированного блока памяти, но не учли, что по задумке разработчиков этот блок должен выступать в роли источника энтропии для генератора случайных чисел.

Более того, в OpenSSL реализации протокола DTLS (Datagram TLS, также известен как "SSL over UDP") найдена уязвимость, позволяющая злоумышленнику выполнить свой код.

  1. Главная ссылка к новости (http://lists.debian.org/debian...)
  2. Password recovery procedure
  3. DSA: New openssl packages fix predictable random number generator
  4. USN-612-1: OpenSSL vulnerability
  5. secunia.com: Debian OpenSSL Predictable Random Number Generator and Update
  6. О вреде valgrind - разбор причин возникновения проблемы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: debian, openssl, ssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 23:33, 13/05/2008 [ответить] [смотреть все]    [к модератору]
  • +/
    Только CentOS. Точка.
     
     
  • 2.2, vas, 23:52, 13/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    То, что не пишет про ЦентОС, не значит, что там нету уязвимостей Тот факт, что ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, vas, 23:53, 13/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    не пишется*
     
  • 3.4, Аноним, 23:59, 13/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Что то не припомню, что б на RedHat блокировали ВСЕ аккаунты.
     
     
  • 4.12, Аноним, 02:56, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что то не припомню чтоб коммерческая лавка публично признавала наличие проблем _... весь текст скрыт [показать]
     
     
  • 5.21, Анонимно, 11:31, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Слушайте, это даже не смешно https bugzilla redhat com ... весь текст скрыт [показать]
     
  • 4.51, User294, 03:49, 15/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У дебианщиков сроду паранойя Что в плане лицензий, что в плане секурити, что в п... весь текст скрыт [показать]
     
  • 3.11, Michael Shigorin, 01:42, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ни за какие коврижки Опять ткну пальцем в http bugs centos org view php id 2... весь текст скрыт [показать]
     
     
  • 4.17, anonymous, 08:55, 14/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А мейнтейнер не причем:
    http://marc.info/?l=openssl-dev&m=114652287210110&w=2
     
  • 4.20, Анонимно, 11:28, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Обалдеть какой удачный пример Дядька, если для вас глюк с железкой и блокировка... весь текст скрыт [показать]
     
     
  • 5.32, Имя, 14:31, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Прошу прощения за нецензурщину заранее Господа, разницу почувствуйте Debian - ... весь текст скрыт [показать]
     
     
  • 6.34, none, 16:32, 14/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    правильнее сказать ;) - собранный из открытых исходников РХЕЛа
     
  • 6.35, Анонимно, 17:14, 14/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вообще не понял, что вы хотели этим сказать.

     
     
  • 7.37, User, 18:12, 14/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    http://bugs.centos.org/view.php?id=1557
    И нет записи что проблема решена.
     
     
  • 8.54, Анонимно, 12:05, 15/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    и?
     
     
  • 9.56, Аноним, 14:04, 15/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То что Ваш CentOS тоже не без проблем Успокойтесь Все стараются решать проблем... весь текст скрыт [показать]
     
  • 6.36, Foxcool, 17:51, 14/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Я вообще живу под Fedora и мне хорошо... =)
     
     
  • 7.61, User294, 13:53, 25/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Замечательно А чего в федорином горе хорошего Тестовый полигон редхата он и есть... весь текст скрыт [показать]
     
     
  • 8.62, geekkoo, 14:46, 26/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    There is a slight difference between the test-spot and the circus In the last c... весь текст скрыт [показать]
     
  • 2.50, User294, 03:45, 15/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Что-точка А если в каком-то пакете оного окажется дырень а пакетов много и это н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, Анонимно, 12:09, 15/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неосилившему rpm Пипец Вот чем конфигурежка в Дебьяне отличается от конфигу... весь текст скрыт [показать]
     
  • 3.57, Michael Shigorin, 16:12, 15/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ещё многое впереди В свете темы -- где что корёжат, окромя как в редхате ... весь текст скрыт [показать]
     
  • 1.6, vitek, 00:10, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    вот, блин, новость
     
  • 1.7, PereresusNeVlezaetBuggy, 00:27, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Респект админам. Без тени иронии.
     
  • 1.8, smn, 00:39, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    молодцы ребята. безопасность прежде всего!
     
  • 1.9, гость, 00:56, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Каким местом думал кретин, выкативший этот идиотский патч?!
    Как хорошо, что я всегда и везде использую lsh & GnuTLS...
     
  • 1.10, Аноним, 01:09, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    А нет ли ссылки на конкретный патч, вызвавший проблемы?
     
     
  • 2.13, spinore, 03:11, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Есть https www pgpru com comment23189 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Аноним, 03:16, 14/05/2008 [ответить] [смотреть все]     [к модератору]  
  • +/
    Дык как раз сегодня привалил апдейт по apt-get update apt-get upgrade - там ка... весь текст скрыт [показать]
     
  • 1.15, pavlinux, 04:38, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    ХАЧУ эксплойту!!!
     
     
  • 2.16, sproot, 07:14, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Вам не положено, это только для детей :)
     
  • 1.18, Аноним, 09:39, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    молодцы ребята однозначно за то что ищут и за то говорят об этом открыто.
     
  • 1.19, fa, 10:55, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать по какому-то их подмножеству?


     
     
  • 2.24, Аноним, 12:05, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    zless /usr/share/doc/openssh-server/README.compromised-keys.gz
     
  • 2.58, guest, 11:02, 16/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ключи можно перебрать по подмножеству из примерно 260 000 вариантов Обычная маш... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, Дмитрий Ю. Карпов, 11:59, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Пора бы уже выпустить аппаратные генераторы случайных чисел, основанные на измерении какого-нибудь физического процесса. Идеальным является ядерный распад, т.к. ядра распадаются независимо друг от друга; но это опасно. Неплохо подходит измерение какой-нибудь физической величины (например, температуры) с высокой точностью и отброс старших цифр (можно ещё переставить цифры). А вообще, неплохо годится время запроса на генерацию случайного числа (тоже младшие цифры с точностью до тактов процессора).
     
     
  • 2.25, Аноним, 12:07, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    man urandom до просветления
     
  • 2.26, Гость, 12:11, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Гдето я слышал что в какихто процессорах интел, просто снимается помеха с какого... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Logo, 14:04, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Апаратные существуют, но с ростом вычислительной мощности всеравно, ранше или по... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, ilia kuliev, 15:58, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вы в своем репертуаре, Дмитрий ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, geekkoo, 12:03, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Уязвимости подвержен только openssl пакет входящий в состав Debian и
    >Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
    >некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
    >(начиная с версии пакета 0.9.8c-1).

    Вот за что можноуважать Патрика Фолькердинга, так это за то, что он не лезет внутрь сорцов грязными руками...

     
     
  • 2.28, exn, 13:32, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    10000000000000000000 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, exn, 13:33, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Точнее даже будет сказать - пределывает все и вся только для своего дистрибутива... весь текст скрыт [показать]
     
  • 2.64, Michael Shigorin, 18:03, 28/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Это грабли о двух концах Не знаю насчёт грязных не встречался , но то, что ру... весь текст скрыт [показать] [показать ветку]
     
  • 1.27, ZANSWER, 12:59, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Эх... что-то не везёт Debian на узявимости, приводящие к неработоспособности их инфраструктуры...:(

    З.Ы. Радует, что административная практика защиты в таких случаях у них работает...:)

     
     
  • 2.31, Logo, 14:06, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    У других не лучше, но они молчат.
     
     
  • 3.39, Аноним, 18:22, 14/05/2008 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Эт - точна! :)
     
  • 1.40, ZANSWER, 18:28, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Оказуеться виновником бага является сам ментейнер Debian, который сам же его породил, закоментировав для чего-то строку в коде, посчитав, что он умнее разработчиков из OpenSSL...*BRAVO*
     
     
  • 2.42, Аноним, 18:44, 14/05/2008 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    закоментировал - для удобства отладки ну ошибся человек, с кем не бывает не о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, geekkoo, 18:54, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если есть патч - шли его разработчикам А то эти distribution-specific патчи уже... весь текст скрыт [показать]
     
     
  • 4.44, Andrey Mitrofanov, 18:59, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Возьмём хороший сферический дистрибутив в вакууме ... весь текст скрыт [показать]
     
     
  • 5.46, geekkoo, 19:15, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не понял Если есть патч, то что мешает отправите его разработчикам Или просто ... весь текст скрыт [показать]
     
  • 4.45, Аноним, 19:10, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    полностью согласен, Вы абсолютно правы И в данной ситуации, разработчики из deb... весь текст скрыт [показать]
     
     
  • 5.48, PereresusNeVlezaetBuggy, 20:14, 14/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Насколько я понял, там всё малость сложнее и тупее В Debian натравливают va... весь текст скрыт [показать]
     
  • 2.53, Аноним, 08:44, 15/05/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    http://www.links.org/?p=328
     
     
  • 3.60, Аноним, 04:20, 17/05/2008 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Там есть ссылка на оригинальное обсуждение http marc info t 114651088900003 r... весь текст скрыт [показать]
     
  • 1.41, vehn, 18:38, 14/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    ..всегда относился с достаточной долей сомнительности к привычке дебианистов накладывать патчи на всё и вся. Собственно, за что боролись, на то и напоролись. Хорошо хоть оперативно решают.
     
  • 1.47, Аноним, 19:31, 14/05/2008 [ответить] [смотреть все]     [к модератору]  
  • +/
    Дырки в пакете дебиана, а пострадают - редхатовцы Потому, что дебиановци вытр... весь текст скрыт [показать]
     
     
  • 2.49, Акфтл, 00:16, 15/05/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >Дырки в пакете дебиана, а пострадают - редхатовцы :) Потому, что дебиановци
    >вытравят все дырявые public keys в помощью 'ssh-vulnkey', а не-дебиановцы не
    >смогут автоматически обнаружить такие ключи на своих серверах.
    >Например, CPanel, ставящаяся на RHEL/Centos, имеет систему импорта ключей для организации доступа
    >по ключу. Ждём сообщений о взломах :)

    Если подумать, то это вряд ли. Вероятно, уязвимости подвержены debian-based сервера, у которых уязвимые хост-ключи, и у которых можно получить юзерский public key (именно юзера этого же сервера, генерённый на этом серваке). Я не думаю, что сервер без уязвимости подвержен опасности при использовании "слабого" публичного ключа для доступа к такому серверу.

     
  • 1.59, geekkoo, 16:38, 16/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    >[оверквотинг удален]
    >Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg00152.html), связанной
    >с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую
    >злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного
    >шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и
    >Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана
    >некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
    >(начиная с версии пакета 0.9.8c-1).
    >
    >URL: http://lists.debian.org/debian-devel-announce/2008/05/msg00003.html
    >Новость: https://www.opennet.ru/opennews/art.shtml?num=15846

    Рекламный слоган: Debian - you can never be sure!

    http://img502.imageshack.us/img502/2996/pmeo9hcjp7aw9.jpg

     
  • 1.65, Sol, 12:28, 30/05/2008 [ответить] [смотреть все]    [к модератору]  
  • +/
    Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
     
     
  • 2.66, Pilat, 02:03, 18/06/2008 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >Debian в своём репертуаре, ещё и убунту за собой потянет на дно)
    >

    В своём репертуаре программисты openssl, не написавшие комментарии.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor