El nyap de l'any a Debian
Els de Debian han emès un avís de seguretat realment impactant. Fa ún any i mig, al setembre de 2006, es va editar el codi font del port de l'OpenSSL per a Debian tot eliminant aquesta línia de codi:
MD_Update(&m,buf,j);
amb l'objectiu d'eliminar un dels avisos que donaven les eines de depuració. Esborrada la línia, problema resolt… però amb un detall "menor": el generador de nombres pseudoaleatoris no s'inicialitzava, de forma que el nombre de possibles claus de xifrat quedava reduïda a 32.768 combinacions
Aquest problema afecta *a tots els derivats* de Debian, des de setembre del 2006, Ubuntu inclòs.
És important indicar que no n'hi ha prou amb l'actualització del paquet. Cal tornar a generar les claus utilitzades per a l'autenticació (per exemple, a l'OpenSSH per a la validació d'usuaris) i en general qualsevol altra clau generada per OpenSSL.
Lectura recomanada sobre el tema, l'anàlisi de Metasploit: Debian OpenSSL Preoductable PRNG Toys.
Entrades aleatòries
Carregant...
El nyap de l'any a Debian…
Els de Debian han emès un avís de seguretat realment impactant. Fa ún any i mig, al setembre de 2006, es va editar el codi font del port de l'OpenSSL per a Debian tot eliminant una línia de codi amb l'objectiu d'eliminar un dels avisos que donaven l…
Retroenllaç per latafanera.cat — 16 maig 2008 @ 0:47
Hola,
Comentar que a can GNOME i Mono molta gent ha tingut que actualitzar les claus SSH de connexió per SVN. De fet a GNOME, han suspès temporal l'accés Subversion per SSH.
Salut,
Jordi,
Comentari per Jordi Mas — 16 maig 2008 @ 1:22
Molt bon apunt, tot i que un poc incomplet.
Segurament també hauràs llegit la part en que, sense voler excusar-se, la gent de Debian explica que /sí/ van comentar el tema amb la gent d'OpenSSL i van comentar que no era mala idea, la ridícula discussió sobre quina és l'adreça correcta per a contactar amb OpenSSL (una adreça en cap lloc referenciada ni al tar.gz, ni a la web ni enlloc), o l'anàlisi de molta gent de fora de Debian que admet que aquest troç de codi, que utilitza memòria sense inicialitzar, hauria d'estar més que comentada, i no ho està, més encara quan hi ha dos llocs al codi on passa això, i en un és correcte "arreglar-ho", però en l'altre no ho és.
Però bé, visca els nyaps de Debian.
Comentari per Jordi — 16 maig 2008 @ 11:11
Ja hi han imatges que es prenen a broma el tema aquest
Comentari per anthrax — 16 maig 2008 @ 14:51
Vaja, no m'ha deixat enllaçar la imatge directament, em referería a aquesta imatge (espero que ara funcioni! XD):
http://bandaancha.eu/store/anthrax/images/security_holes.png
Salutacions
Comentari per anthrax — 16 maig 2008 @ 14:54
[…] publica l'alerta de seguretat i la notícia comença a passar de bloc en bloc. En parlen en Xavier Caballé o Kriptópolis, per […]
Retroping per SomGNU » Blog Archive » De com una línia de codi embolica la troca de valent — 20 maig 2008 @ 8:02