La vulnérabilité OpenSSH pour Debian GNU / Linux
15 maggio 2008, 0:35 Annonces , des bugs , des Nouvelles , des Open Source le 15 mai 2008, 00:35
Cette fois, la vulnérabilité signalée par Debian Security Advisory Team est un de ceux qui ont à courir pour la couverture - il faut le dire - même les plus sysadmin facile!
Comme il arrive rarement, cette fois, le problème est spécifique à la distribution Linux, même si elle est une conséquence indirecte de la bogue n'est pas OpenSSH demande spécifique à Debian a découvert il ya quelques jours. Pour le dire succinctement, toutes les clés des utilisateurs et d'accueil générées pour chaque connexion SSH à partir du paquet `` poussette openssh sont absolument pas fiables, car leur génération n'a pas eu lieu conformément à un algorithme de randomisation est valide et donc facilement «prévisible».
Pour les gens sages, j'attache au bas de ce post la libération de la DSA.
Résoudre le problème est toujours un jeu d'enfant. Vous lancez simplement:
apt-get dist-upgrade
et de confirmer l'invite que je reproduis ci-dessous:
Ici, enfin, la Debian DSA-1576-1 . Bonne lecture!
17 mai 2008 à 9h00
Je me suis trompé par lui-même, avant que quelqu'un d'autre ne le fasse. Le signal prélevé à partir d'un site web dédié à Debian autorité sysadmin signalé ce bug spécifique Debian. Après avoir examiné le sujet, j'ai trouvé au contraire qu'il s'agit d'un bug très spécifique à Debian. La prochaine fois que je dessine directement à la DSA.
Voici le passage de la DSA, qui décrit la nature du bogue:
Luciano Bello a découvert que le générateur de nombres aléatoires dans le paquet Debian openssl est prévisible. Ceci est causé par une mauvaise spécifique à Debian changement le paquet openssl (CVE-2008-0166). Comme une
Par conséquent, le matériel de clé cryptographique peut être possible de le deviner.
Il s'agit d'une vulnérabilité spécifique à Debian qui n'affecte pas quels systèmes d'exploitation autres ne sont pas basées sur Debian. Toutefois, d'autres systèmes peuvent être affectées si faibles touches agenzie sont importés en eux.
Il est fortement recommandé de chiffrement matériel de clé à ce qui a été-généré par les versions OpenSSL commençant par 0.9.8c-1 sur les systèmes Debian est recréé à partir de zéro. En outre, toutes les clés DSA jamais utilisés sur les systèmes Debian touchées à des fins de signature ou d'authentification doit être considérée comme compromise, l'algorithme de signature numérique repose sur une valeur aléatoire secret utilisé Pendant la génération de signature.
http://lists.debian.org/debian-security-announce/2008/msg00152.html