http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/Wpisy z dziennika internetowego Jogger, wspomaganego przez JabberaSun, 21 Feb 2016 14:56:40 +0100JoggerPLhttp://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161726Jestem pewien, że zaraz zaczną się flame’y w różnych serwisach, że Debian jest niebezpieczny itd. A przecież błędy zdarzają się wszędzie.Wed, 14 May 2008 06:53:59 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161726http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161731Cóż, akurat to jest duża i poważna wpadka. Po pierwsze, błąd powstał na skutek poprawek, które naniesiono w Debianie. Po drugie, aktualizacja pakietów nie rozwiązuje problemu – należy jeszcze raz wygenerować wszystkie klucze itp. Po trzecie, cały proces testowania pakietów i „bezpieczeństwo programów open source”... nie do końca zdały egzamin. Tzn. zależy jak na to patrzeć, bo testowanie pakietów to raczej jest pod kątem, czy dobrze działają w dystrybucji, a nie czy nie mają dziur na poziomie kryptograficznym, ale mit open source = bezpieczne (bo od razu widać błąd) po raz kolejny jest obalony. Sporo wpisów na planecie Debiana jest na ten temat. Przy okazji pewnie znajdzie się trochę innych błędów w OpenSSL (tym razem natury ogólnej). Tak czy inaczej, cieszy mnie, że będzie dyskusja/flame’y. Może coś ciekawego się urodzi z tego.Wed, 14 May 2008 07:42:06 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161731http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161735kilkuletni blad w debianie, kilkunastoletni w bsd…co dalej?Wed, 14 May 2008 08:04:13 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161735http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161774Muahaha, zawsze wiedziałem, że z Debianem jest coś nie tak! ]:> A tak serio to przecież całkiem niedawno dopiero załatano lukę vmsplice. Przykra sprawa z tymi błędami, ale przecież, gdyby ktoś je już wykorzystał, to dowiedzielibyśmy się o nich wcześniej, tak? Dobrze, że poprawki pojawiają się chwilę po ogłoszeniu błędu, a czy przypadkiem taki M$ nie zwlekał z łataniem swoich starych i dobrze znanych błędów?Wed, 14 May 2008 10:06:36 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161774http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161933Heh wystarczyło wklepać apt-get update, apt-get upgrade i już nie ma błędu :) Wpisałem to ok. pół godziny po opublikowaniu błędu…Wed, 14 May 2008 14:43:49 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161933http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161956Akira: Jesteś w błędzie.Wed, 14 May 2008 15:36:53 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161956http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161957Ciekawe, mów dalejWed, 14 May 2008 15:37:38 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1161957http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162070Akira: Co tu mówić? Przeczytaj DSA po prostu, całe, ze szczególnym uwzględnieniem fragmentu o kluczach.Wed, 14 May 2008 18:57:13 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162070http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162077Tak, ale nie tworzy już łatwych do złamania kluczy. Starczy, tamte się przedawnią po jakimś czasie przecież.Wed, 14 May 2008 19:01:55 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162077http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162095Akira: Klucze SSH tak po prostu się nie przedawniają. Certyfikaty SSL – zależy. Jeśli masz ochotę się ścigać z łamiącymi – Twoja sprawa. Patrząc na sposób wykrywania słabych certyfikatów (lista) – masz spore szanse przegrać i to w ciągu dni.Wed, 14 May 2008 19:18:51 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162095http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162096Ale ja nie mam certyfikatu SSL.Wed, 14 May 2008 19:19:29 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162096http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162115Akira: To co się ma niby przedawnić i kiedy? Bo chyba nie rozumiem.Wed, 14 May 2008 19:44:01 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162115http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162116IMO klucz SSHWed, 14 May 2008 19:44:27 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162116http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162119Akira: polecam ls -lt /etc/ssh/ssh_host_* polecam (nowy openssh wymienia, jeśli są słabe). I to samo dla kluczy użytkownika.Wed, 14 May 2008 19:51:46 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162119http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162121Pytanie za sto punktów, jak je na nowo wygenerować?Wed, 14 May 2008 19:56:00 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162121http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162126Wystarczyło przeczytać dokładnie DSA. Ogólnie skutki usuwania problemu, dla większości usług są opisane tutaj Także dla SSH.Wed, 14 May 2008 19:59:22 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1162126http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1816369Dziura w OpenSSL, o jakiej się nie śniło.No bo jak inaczej nazwać błąd, który pozwala na zdalny dostęp do pamięci podatnej maszyny? Co prawda tylko 64kB i tylko związanej z procesem korzystającym z biblioteki zawierającej błąd, ale biorąc pod uwagę, do czego OpenSSL służ[...]Wed, 09 Apr 2014 08:20:35 +0200http://rozie.jogger.pl/2008/05/13/paskudny-blad-w-debianie/#c1816369