The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

03.06.2015 22:35  Выявлена порция уязвимых SSH-ключей доступа к GitHub

Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал результаты исследования надёжности SSH-ключей, используемых пользователями GitHub. Оценив 1.3 млн публичных ключей, которые размещены в открытом доступе и ассоциированы с аккаунтами GitHub, было выявлено, что до сих пор многие пользователи применяют ключи, сгенерированные в окружении Debian, содержащем пакет OpenSSL с неисправленной уязвимостью, в которой разработчики Debian комментированием двух строк кода поломали генератор случайных чисел.

Уязвимость даёт возможность предсказывать значение генератора случайных чисел и, соответственно, легко подбирать приватные ключи на основе публичных SSH-ключей (уязвимый OpenSSL позволяет генерировать только 32 тыс. вариантов ключей). Ошибка была внесена в 2006 году и устранена в мае 2008 года. Число пользователей GitHub с уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены у разработчиков, имеющих право коммита в репозитории компаний Яндекс, Couchbase и Spotify, в проекты gov.uk, в кодовую базу Python, фреймворк Django и ruby gem. В настоящее время, GitHub уже отправил уведомления подверженным проблеме пользователям и заблокировал проблемные ключи.

Кроме ключей, связанных с уязвимостью в OpenSSL, было выявлено несколько ключей подозрительно небольшого размера - семь ключей по 512 бит и два ключа по 256 бит. Подобный размер позволяет достаточно быстро выполнить подбор приватного ключа, например, на компьютере с процессором i5-2400 на подбор 512-битного ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
  3. OpenNews: Концептуальный пример червя, использующего уязвимость OpenSSL из Debian
  4. OpenNews: Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: github, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, xaxaxa, 22:54, 03/06/2015 [ответить] [смотреть все]
  • –1 +/
    поломали совершенно случайно (с)
     
  • 1.2, Crazy Alex, 22:54, 03/06/2015 [ответить] [смотреть все]
  • –1 +/
    Ну и динозавры, однако. Это же что надо делать, чтобы не проапдейтиться с тех пор? При апдейте с уязвимой версии SSH, насколько я помню, заставлял сменить ключи
     
     
  • 2.4, Аноним, 22:59, 03/06/2015 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    Причём тут уязвимой версии SSH и не проапдейтиться с тех пор Проблема в том... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, anonymous, 23:21, 03/06/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, которы... весь текст скрыт [показать]
     
     
  • 4.13, Crazy Alex, 00:57, 04/06/2015 [^] [ответить] [смотреть все]  
  • +/
    Именно так
     
  • 4.25, Andrey Mitrofanov, 09:55, 04/06/2015 [^] [ответить] [смотреть все]  
  • +/
    Это он в Debian-е прилетел, у тебя, у меня и, кстати, и тут openssh-blacklist ,... весь текст скрыт [показать]
     
     
  • 5.32, Crazy Alex, 13:51, 04/06/2015 [^] [ответить] [смотреть все]  
  • +/
    ну так где кривые ключи генерировали - там он и прилетел и поймал их Как они ок... весь текст скрыт [показать]
     
  • 2.41, anonim, 20:53, 14/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это Debian, детка!
     
  • 1.3, Аноним, 22:57, 03/06/2015 [ответить] [смотреть все]  
  • –21 +/
    GitHub теперь сборище пидо сов, не фигурально, а буквально - https github com... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 23:10, 03/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    И что? Причём это на техническом ресурсе? Латентность покоя не дает?
     
     
  • 3.8, Michael Shigorin, 23:24, 03/06/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Вообще-то организационные и социальные выверты на технических аспектах тоже отра... весь текст скрыт [показать]
     
     
  • 4.11, Аноним, 23:34, 03/06/2015 [^] [ответить] [смотреть все]  
  • +4 +/
    То, что авторский коллектив джумлы недавно из детского садика, сразу видно по ко... весь текст скрыт [показать]
     
     
  • 5.31, прохожий, 13:31, 04/06/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    читаю новость, читаю коммент, читаю новость, казалось бы причем тут геи, но анон... весь текст скрыт [показать]
     
  • 4.15, Анончег, 04:55, 04/06/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, чем какая... весь текст скрыт [показать]
     
     
  • 5.33, Andrey Mitrofanov, 14:33, 04/06/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Народ уже давно требует беспощадного выкорчевы 8 http www phoronix com sca... весь текст скрыт [показать]
     
     
  • 6.35, Анончег, 00:54, 05/06/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Митрофанычъ, тов Фарфуркис занят, бухает с Фёдором в стекляшке - обсуждают перс... весь текст скрыт [показать]
     
  • 4.19, Аноним, 06:51, 04/06/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Django разрабы тоже потешили, нашелся затейник решивший привести код к полит кор... весь текст скрыт [показать]
     
     
  • 5.22, a, 08:54, 04/06/2015 [^] [ответить] [смотреть все]  
  • +/
    https code djangoproject com ticket 22667 - это вот тут жестко высказали Мимо... весь текст скрыт [показать]
     
  • 4.23, Аноним, 09:27, 04/06/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    То есть мы будем судить о специалистах не по качеству работы, а по тому, кого и ... весь текст скрыт [показать]
     
  • 2.9, anonymous, 23:31, 03/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    какой кошмар! как дальше жить?!
     
  • 2.27, q, 10:16, 04/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Как будто что-то плохое.
     
  • 1.6, Аноним, 23:12, 03/06/2015 [ответить] [смотреть все]  
  • –1 +/
    Тот редкий случай, когда я рад, что в 2007-м году пользовался FreeBSD. :-)
     
  • 1.12, Ahulinux, 23:34, 03/06/2015 [ответить] [смотреть все]  
  • +/
    >у разработчиков, имеющих право коммита в репозитории компаний Яндекс

    <sarcasm>Вот где-где, а в яндексе не ожидал.
    Ps Небось девелопер из части по яндекс.директ

     
  • 1.20, Аноним, 08:02, 04/06/2015 [ответить] [смотреть все]  
  • +1 +/
    Надо юзать первоисточник - OpenBSD :)
     
  • 1.26, Andrey Mitrofanov, 09:59, 04/06/2015 [ответить] [смотреть все]  
  • +/
    >Ошибка была внесена в 2006
    > году и устранена в мае 2008 года. Число пользователей GitHub с
    > уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены
    > у разработчиков, имеющих право коммита в репозитории

    Хорошо, что коммиты b тарболы подписывают gpg.   Пока снова не грянет?

    > ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

     
  • 1.28, Мызасмысл, 10:19, 04/06/2015 [ответить] [смотреть все]  
  • +1 +/
    > Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал

    А с чего это он "Кох", когда он Кокс?

     
     
  • 2.29, Andrey Mitrofanov, 10:32, 04/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Чтобы не орпагандировать Чёрную металлургию ... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, Аноним, 10:11, 05/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Веп Сох, по-моему.
     
  • 2.39, б.б., 12:11, 05/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а палочка кокса у него есть?
     
     
  • 3.40, anonymous, 15:27, 05/06/2015 [^] [ответить] [смотреть все]  
  • +/
    > а палочка кокса у него есть?

    Может и есть.
    Но никто не знает что такое "палочка кокса".
    Поэтому невозможно сказать есть ли она у него.

     
  • 1.38, б.б., 12:11, 05/06/2015 [ответить] [смотреть все]  
  • +/
    я помню, как-то при то ли создании нового репозитория, толи ещё при какой-то операции на github (примерно год-полтора назад) при вводе пароля успел подумать, что я не тот пароль ввожу - но уже автоматом ввёл и нажал enter... так этот github дажее не подавился, и сделал всё, что нужно. (вот так я стал хакиром)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList