Och! Bezpečnostna chyba Debian OpenSSL

Debian Linux bol odhalený, má zásadnú bezpečnostnú chybu. Distribúcia zmenila svoj OpenSSL kód a mimovoľne spravila súkromné ​​kľúče ľahko kreknuteľné. HD Moore Napísal o tejto nedávnej chybe na Metasploit. Uviedol “Všetky kľúče SSL a SSH generované na systémoch založených na Debiane (Ubuntu, Kubuntu, atď) medzi septembrom 2006 a 13.májom 2008 môžu byť postihnuté.”

Moore vysvetľuje ďalej:

V prípade SSL kľúčov, všetky generované certifikáty budú musieť byť znovu vytvorené a zaslané na podpis certifikačnou autoritou. Všetky kľúče certifikačného úradu generované v systéme Debian-based system budú musieť byť obnovené a zrušené. Všetky administrátorské systémy, ktoré umožňujú používateľom prístup k ich serverom s SSH a overenie verejného kľúča, musia auditovať  kľúče, aby sa zistilo, či niektoré z nich neboli vytvorené na zraniteľnom systéme. Všetky nástroje, ktoré sa spoliehali na OpenSSL PRNG, aby zabezpečili dáta, ich prenos môže byť ohrozený offline útokom. Akékoľvek SSH server, ktorý používa kľúč hostiteľa generovaný chybným systémom podlieha traffic decryption a útok man-in-the-middle by byť pre užívateľa neviditeľný. Táto chyba je zlá, pretože aj systémy, ktoré nepoužívajú systém Debianu je potrebné auditovať, v prípade, že bol používaný kľúč, ktorý bol vytvorený na systéme Debian. Projekty Debian a Ubuntu vydali sadu nástrojov pre identifikáciu zraniteľných kľúčov.

Ak ste vytvorili nejaké kľúče pomocou zraniteľnej verziu OpenSSL, je dôležité, že su aktualizujete vašu verziu OpenSSL, aby ste odstránili bezpečnostnú chybu a potom regenerovali všetky príslušné kľúče a certifikáty. Moore poskytuje spôsob kontroly, či je kľúč napadnutný, či ste v bezpečí.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

*

Môžete použiť tieto HTML značky a atribúty: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>