Questa volta la vulnerabilità segnalata dal team Debian Security Advisory è di quelle che devono far correre ai ripari – è il caso di dirlo – anche il sysadmin più easy!
Come raramente accade, questa volta il problema è specifico della distro Linux, anche se si tratta di una conseguenza indiretta del bug non Debian-specific scoperto pochi giorni fa nell’applicazione OpenSSH. Per dirla in poche parole, tutte le chiavi host e user generate per ogni connessione SSH dal pacchetto `openssh` buggato sono completamente inaffidabili, poiché la loro generazione non è avvenuta seguendo un algoritmo di randomizzazione valido e sono pertanto facilmente “prevedibili”.
Per le persone sagge, allego in calce a questo post il comunicato del DSA.
Risolvere il problema è comunque un gioco da ragazzi. È sufficiente lanciare:
apt-get dist-upgrade
e confermare il prompt che riproduco qui di seguito:
Ecco infine il Debian Security Advisory DSA-1576-1. Buona lettura!
Ivan Agliardi
Mi correggo da solo, prima che lo faccia qualcun altro. La segnalazione presa da autorevole portale dedicato ai sysadmin Debian riportava come non Debian specific questo bug. Dopo avere approfondito l’argomento ho scoperto invece che si tratta di un bug assolutamente Debian specific. La prossima volta attingo direttamente ai DSA.
Ecco il passaggio del DSA in cui si descrive la natura del bug:
Luciano Bello discovered that the random number generator in Debian’s openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a
result, cryptographic key material may be guessable.
This is a Debian-specific vulnerability which does not affect other operating systems which are not based on Debian. However, other systems can be indirectly affected if weak keys are imported into them.
It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.
https://lists.debian.org/debian-security-announce/2008/msg00152.html