|
| 1.2, Бурзум (?), 21:05, 18/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Нет-нет, я не троллю, самому приходится дебиан использовать, но блин за последнее время в других дистрибутивов таких дыр (и таких ляпов - собственно откуда дыра), не замечал. Теперь уж точно полностью убедился, что дебиан крив и дыряв.
| | |
| |
| 2.12, Logo (ok), 19:52, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Дыры есть везде и живут по четверть века в дистрах от их рождения, вопрос только во времени когда дыра вылезет и на сколько чесно о ней признаются.
| | |
|
| 1.7, ZANSWER (??), 14:18, 19/05/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Да уж, Debian взбодрил не одну тысячу разработчиков, которые теперь будут ещё долго смеяться над ним, печально...:(
| | |
| |
| 2.8, pavel_simple (??), 14:47, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Да уж, Debian взбодрил не одну тысячу разработчиков, которые теперь будут ещё
>долго смеяться над ним, печально...:(
да уж -- это не RedHat какой-нибудь -- не прячет дыры и ошибки (вспоминаем недавний vmsplice)
p.s.
остальные unix'ы ничем не лучше -- политика умалчивания повсюду (а то клиенты поразбегутся)
| | |
|
| |
| |
| 3.11, Heckfy (ok), 19:26, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ага, спасибо.
Кстати, я сначала нашел, потом ответ прочитал. ;)
Вообще, интересно посмотреть на такую сторону проблемы, как сертификаты. Они же тоже потрадать могут. А много-много выдавателей навыдавали неправильных ключей еще больше. :)
| | |
| |
| 4.13, pavlinux (ok), 21:11, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Patch видели из-за которого SSL плохие ключи генерила?
У меня первое впечатление, что это было преднамеренно и со знанием дела.
| | |
| |
| 5.15, Гость_0 (?), 23:21, 19/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
> Patch видели из-за которого SSL плохие ключи генерила?
У меня первое впечатление, что это было преднамеренно и со знанием дела.
первое впечатление - обманчиво :) тогда получается что в этом замешены вместе и разработчики дебиан и разработчики openssl... вероятность конечно есть, но имхо скорее всего банальный "человеческий фактор", эти не подумали, те недопоняли и вот оно и вышло...
| | |
|
|
|
|
| |
| 2.16, pavlinux (ok), 00:05, 20/05/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>покажи патч
http://svn.debian.org/viewsvn/pkg-openssl/openssl/trunk/rand/md_rand.c?rev=14
А что же произошло?
13 мая 2008 года проект Debian известил своих пользователей о вышедшем исправлении, затрагивающем генерацию случайных чисел в библиотеке OpenSSL, поставляемой в составе операционной системы Debian Linux. Ошибка состояла в том, что следующие строки были удалены из файла md_rand.c:
MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */
Эти строки были удалены из-за того, что утилиты Valgrind и Purify сообщали об использовании неинициализированных данных в любом коде, который использовал OpenSSL (пример подобного сообщения). Удаление этих строк привело к тому, что в качестве случайного числа стал использоваться только идентификатор текущего процесса (на Linux системах, максимальный идентификатор процесса равен 32768).
И какие последствия?
Все SSL и SSH ключи, сгенерированные на производных от Debian системах с сентября 2006 по 13 мая 2008 являются слабыми с криптографической точки зрения. Это означает, что злоумышленник может воссоздать ключ и с его помощью подписать новые сертификаты. Злоумышленник может таким образом произвести брут-форс атаку на SSH сервер, полагающийся на публичные колючи при аутентификации, Web сервер, аутентифицирующий пользователей по персональным сертификатам и другие службы. Также, открывается пространство для атаки типа «Человек по средние» и расшифровке перехваченного зашифрованного трафика.
А сложна ли эксплуатация уязвимости?
Сложность эксплуатации зависит от используемого алгоритма. H.D. Moore опубликовал на сайте metasploit.com пример реализации атак и приблизительное время, требуемое для эксплуатации в зависимости от алгоритма.
| | |
|
|
