[LUGOS-SEC] openssl ranljivost v Debian/Ubuntu
Matej Kovacic
matej.kovacic at owca.info
Wed May 14 08:26:34 CEST 2008
https://www.slo-tech.com/script/forum/izpisitemo.php?threadID=313365#crta
Slo-Tech - Kot poročajo na poštnem seznamu Debianove skupine za
zagotavljanje informacijske varnosti, je raziskovalec Luciano Bello
odkril, da OpenSSL paket Linux distribucije Debian vsebuje predvidljiv
generator naključnih števil.
Do napake je prišlo zaradi prilagoditev paketa distribuciji Debian, kar
pomeni, da so neposredno prizadeti samo Debian in na njem temelječi
sistemi (tudi Ubuntu!). Ranljivost vsebujejo vse različice openssl
kasnejše od 0.9.8c-1, ki je bila sprejeta v Debianova skladišča 17.
septembra 2007.
Zaradi ranljivosti se priporoča menjavo vseh kriptografskih ključev za
SSH, OpenVPN, DSNSEC, SSL/TLS ter ključe uporabljene v X.509
certifikatih. Prav tako so kompromitirani tudi vsi DSA ključi
uporabljeni za podpisovanje in avtentikacijo, saj Digital Signature
Algorithm uporablja ranljivi naključni generator števil. GnuPG in GNUTLS
ključi niso kompromitirani.
Uporabnikom Debiana, Ubuntuja in ostalih na Debianu temelječih
distribucij svetujemo čimprejšnjo varnostno posodobitev *in menjavo vseh
ranljivih šifrirnih ključev*.
lp, M.
More information about the lugos-sec
mailing list