Paskudny błąd w Debianie.
13 maja, 2008
W Debianie (i jego pochodnych) pojawił się paskudny błąd w pakiecie OpenSSL. Nie dotyczy to innych dystrybucji (chyba, że ktoś zaimportował klucze generowane na Debianie), oraz Sarge. Błąd w pakiecie OpenSSL powoduje, że generator liczb pseudolosowych jest przewidywalny. Zalecana jest aktualizacja pakietu i wygenerowanie wszystkich kluczy, które były generowane z użyciem OpenSSL od nowa. Zaleca się też uznanie kluczy DSA używanych na takich systemach za skompromitowane.
Źródło i więcej szczegółów: dsa-1571
1. Livio napisał(a):
14 maja 2008, 06:53:59
Jestem pewien, że zaraz zaczną się flame’y w różnych serwisach, że Debian jest niebezpieczny itd.
A przecież błędy zdarzają się wszędzie.
2. rozie napisał(a):
14 maja 2008, 07:42:06
Cóż, akurat to jest duża i poważna wpadka. Po pierwsze, błąd powstał na skutek poprawek, które naniesiono w Debianie. Po drugie, aktualizacja pakietów nie rozwiązuje problemu – należy jeszcze raz wygenerować wszystkie klucze itp. Po trzecie, cały proces testowania pakietów i „bezpieczeństwo programów open source”... nie do końca zdały egzamin. Tzn. zależy jak na to patrzeć, bo testowanie pakietów to raczej jest pod kątem, czy dobrze działają w dystrybucji, a nie czy nie mają dziur na poziomie kryptograficznym, ale mit open source = bezpieczne (bo od razu widać błąd) po raz kolejny jest obalony. Sporo wpisów na planecie Debiana jest na ten temat. Przy okazji pewnie znajdzie się trochę innych błędów w OpenSSL (tym razem natury ogólnej). Tak czy inaczej, cieszy mnie, że będzie dyskusja/flame’y. Może coś ciekawego się urodzi z tego.
3. yoshi314 napisał(a):
14 maja 2008, 08:04:13
kilkuletni blad w debianie, kilkunastoletni w bsd…co dalej?
4. BeteNoire napisał(a):
14 maja 2008, 10:06:36
<troll_mode>Muahaha, zawsze wiedziałem, że z Debianem jest coś nie tak! ]:></troll_mode>
A tak serio to przecież całkiem niedawno dopiero załatano lukę vmsplice.
Przykra sprawa z tymi błędami, ale przecież, gdyby ktoś je już wykorzystał, to dowiedzielibyśmy się o nich wcześniej, tak?
Dobrze, że poprawki pojawiają się chwilę po ogłoszeniu błędu, a czy przypadkiem taki M$ nie zwlekał z łataniem swoich starych i dobrze znanych błędów?
5. Akira napisał(a):
14 maja 2008, 14:43:49
Heh wystarczyło wklepać apt-get update, apt-get upgrade i już nie ma błędu :) Wpisałem to ok. pół godziny po opublikowaniu błędu…
6. rozie napisał(a):
14 maja 2008, 15:36:53
Akira: Jesteś w błędzie.
7. Akira napisał(a):
14 maja 2008, 15:37:38
Ciekawe, mów dalej
8. rozie napisał(a):
14 maja 2008, 18:57:13
Akira: Co tu mówić? Przeczytaj DSA po prostu, całe, ze szczególnym uwzględnieniem fragmentu o kluczach.
9. Akira napisał(a):
14 maja 2008, 19:01:55
Tak, ale nie tworzy już łatwych do złamania kluczy. Starczy, tamte się przedawnią po jakimś czasie przecież.
10. rozie napisał(a):
14 maja 2008, 19:18:51
Akira: Klucze SSH tak po prostu się nie przedawniają. Certyfikaty SSL – zależy. Jeśli masz ochotę się ścigać z łamiącymi – Twoja sprawa. Patrząc na sposób wykrywania słabych certyfikatów (lista) – masz spore szanse przegrać i to w ciągu dni.
11. Akira napisał(a):
14 maja 2008, 19:19:29
Ale ja nie mam certyfikatu SSL.
12. rozie napisał(a):
14 maja 2008, 19:44:01
Akira: To co się ma niby przedawnić i kiedy? Bo chyba nie rozumiem.
13. Akira napisał(a):
14 maja 2008, 19:44:27
IMO klucz SSH
14. rozie napisał(a):
14 maja 2008, 19:51:46
Akira: polecam ls -lt /etc/ssh/ssh_host_* polecam (nowy openssh wymienia, jeśli są słabe). I to samo dla kluczy użytkownika.
15. Akira napisał(a):
14 maja 2008, 19:56:00
Pytanie za sto punktów, jak je na nowo wygenerować?
16. rozie napisał(a):
14 maja 2008, 19:59:22
Wystarczyło przeczytać dokładnie DSA. Ogólnie skutki usuwania problemu, dla większości usług są opisane tutaj Także dla SSH.
17. Pomiędzy bitami napisał(a):
09 kwietnia 2014, 08:20:35
Dziura w OpenSSL, o jakiej się nie śniło.
No bo jak inaczej nazwać błąd, który pozwala na zdalny dostęp do pamięci podatnej maszyny? Co prawda tylko 64kB i tylko związanej z procesem korzystającym z biblioteki zawierającej błąd, ale biorąc pod uwagę, do czego OpenSSL służ[...]