Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Bugg i Debians OpenSSL och OpenSSH

I tisdags kom nyheten om att Luciano Bello upptäckt att slumptalsgeneratorn i Debians OpenSSL-paket är förutsägbar. Buggen är ett resultat av en Debianspecifik förändring i OpenSSL-paketet vilken gör krypterade nycklar gissningsbara.

 

Debian Security Advisory rekommenderar starkt att alla krypterade nycklar genererade med OpenSSL från version 0.9.8c-1 och uppåt att genereras om med senaste versionen av OpenSSL som finns i repo. Ytterliggare så bör alla DSA-nycklar använda för signering och authentiering anses förbrukade då DSA förlittar sig på säkra slumpmässiga värden vid generering av signaturer.

 

Utsatta system är främst Debian och Debianbaserade distributioner t.ex. Ubuntu, men indirekt drabbas även andra system då deras användare kan ha genererat sina authentieringsnycklar med en utsatt version av OpenSSL. Föregående stabila version av Debian kallad sarge är inte utsatt för buggen.

 

Utsatta nycklar inkluderar SSH-nycklar, OpenVPN-nycklar, DNSSEC-nycklar, nycklar för X.509 certifikat och sessionsnycklar för SSL/TLS-kopplingar. Nycklar genererade med GnuPG eller GNUTLS är inte utsatta.

 

I onsdags kom även nyheten att OpenSSH indirekt är drabbad av OpenSSL-buggen i.o.m. användar- och host-nycklar genererade med en utsatt version av OpenSSL. Debian Security Advisory rekommenderar att man uppgraderar till senaste versionen av OpenSSH som har openssh-blacklist som medföljande paket. I paketet finns programmet ssh-vulnkey som hjälper en att hitta utsatta nycklar i systemet så man kan generera nya.

 

För stable (etch) är buggen fixad i openssl-0.9.8c-4etch3 och openssh-4.3p2-9etch1.

För unstable (sid) och testing (lenny) är buggen fixad i openssl-0.9.8g-9 och openssh-4.7p1-9.

 

DSA-1571-1 openssl -- predictable random number generator

http://www.debian.org/security/2008/dsa-1571

 

DSA-1576-1 openssh -- predictable random number generator

http://www.debian.org/security/2008/dsa-1576

 

 

 

Alternativ för kommentarvisning

Välj ditt önskade sätt att visa kommentarerna och klicka på "Spara" för att verkställa dina ändringar.

jentins bild

We where plunified :=)

http://213.180.84.59/blogs/plun/2008/05/13/debian-ubuntu-servrar

-------------------------------------

www.jentin.com

pluns bild

Snarare SANSifierade

Inget verkar ha publicerats på Flashback eller att "turkarna" anföll webhotellens

Debianservrar så det gick nog hem hos Admins.

.

HD Moore publicerade nycklar och det tog cirka 2 timmar att brute-forca standardnycklar.  Sen divideras det visst fortfarande angående köpta certifikat
som måste förnyas typ Verisign

.

Med "garderobsservrar" är det kanske mer oklart och vissa verkar ju inte ens veta hur man håller en Debian/Ubuntu server uppdaterad dvs vilket kommando....Obestämd

.

Sen uppstod lite humor....Cool

http://xkcd.com/424/

.

Hursomhelst ett gigantiskt "magplask" som ironiskt nog drabbade just Debian.

---------------

Theos song

dholms bild

amelias bild

Fixat. Dålig översättning mitt i natten...

--

Amelia Nilsson 
Linuxchick, Unixtomte, IBM-fangirl, AS/400-munk, Ciscofrälst... o.s.v.
http://www.linuxchick.se

iaidokas bild

Det skulle vara spännande att se den felande regionen kod före den katastrofala ändringen, efter ändringen och hur det ser ut nu när det är löst.

 

Hade jag använt oinitialiserat data som slumpgenerator så hade jag haft rätt stora varningskommentarer i koden där för att påtala detta faktum, så att inte någon skulle komma in och "fixa".  Sedan hade jag nog försökt hitta någon bättre slumpgenerator... men det är en helt annan sak.

 

Test

Test.