OpenSSH-Schwachstelle für Debian GNU / Linux
15 maggio 2008, 0:35 Ankündigungen , Bugs , Neuigkeiten , Open Source 15. Mai 2008, 00.35 Uhr
Dieses Mal die Sicherheitsanfälligkeit ausnutzen, indem Debian Security Advisory Team berichtet ist einer von denen, die in Deckung gehen müssen - es muss gesagt werden - selbst der Sysadmin einfach!
Wie selten der Fall, diesmal das Problem ist spezifisch für die Linux-Distribution, auch wenn es eine indirekte Folge des Fehlers ist nicht Debian-spezifische Anwendung OpenSSH entdeckt vor ein paar Tagen. Oder besser gesagt, sind alle Benutzer-und Host-Schlüssel für jedes SSH-Verbindung von `Paket` openssh Buggy generiert völlig unzuverlässig, da ihre Generation nicht aufgetreten wäre nach einer Randomisierung Algorithmus gültig ist und daher leicht "berechenbar".
Um die Menschen klug, lege ich am unteren Ende von diesem Post die Freisetzung des DSA.
Lösen Sie das Problem ist immer noch ein Kinderspiel. Sie führen Sie einfach:
apt-get dist-upgrade
und bestätigen Sie die Abfrage, die ich unten zu reproduzieren:
Hier endlich das Debian Security Advisory DSA-1576-1 . Viel Spaß beim Lesen!
17. Mai 2008 um 9:00 Uhr
Ich stehe selbst korrigiert, bevor es jemand anderes tut. Das Signal von einem autoritativen Website für Debian-Sysadmin genommen berichtete diesen Fehler als Debian-spezifisch. Nach Prüfung das Thema fand ich statt dessen, dass es ein sehr Debian-spezifische Bug ist. Das nächste Mal ziehe ich direkt an die DSA.
Hier ist die Passage des DSA, die die Art des Fehlers beschreibt:
Luciano Bello entdeckte, dass der Zufallszahlengenerator in Debian-OpenSSL-Paket vorhersehbar ist. Dies wird durch eine falsche Debian-spezifische Änderungen der OpenSSL-Paket (CVE-2008-0166) verursacht. Als
Dadurch kann kryptographischen Schlüssel zu erraten sein Material.
Dies ist eine Debian-spezifische Schwachstellen die keinen Einfluss auf denen andere Betriebssysteme werden nicht auf Debian basiert. Aber auch andere Systeme betroffen, wenn schwache Schlüssel agenzie in sie importiert werden.
Es wird dringend kryptographischen Schlüssel zu dem, was Material-wurde von OpenSSL-Versionen ab 0.9.8c-1 auf Debian-Systemen erzeugt wird, von Grund auf neu erstellt empfohlen. Darüber hinaus sind alle DSA-Schlüssel jemals auf den betroffenen Debian-Systemen für die Unterzeichnung oder Authentifizierung verwendet Betracht gezogen kompromittiert werden, stützt sich die Digital Signature Algorithm auf einer geheimen Zufallszahl Während Signatur genutzt wird.
http://lists.debian.org/debian-security-announce/2008/msg00152.html