https://www.opennet.dev/openforum/vsluhforumID3/41711.html Администраторы серверов проекта debian.org заблокировали (http://lists.debian.org/debian-devel-announce/2008/05/msg00003.html) все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.<br><br><br>Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg00152.html), связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1).<br><br>URL: http://lists.debian.org/debian-devel-announce/2008/05/msg0 https://www.opennet.dev/openforum/vsluhforumID3/41711.html#66 Tue, 17 Jun 2008 22:03:29 GMT &gt;Debian в своём репертуаре, ещё и убунту за собой потянет на дно) <br>&gt;<br><br>В своём репертуаре программисты openssl, не написавшие комментарии.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#65 Fri, 30 May 2008 08:28:04 GMT Debian в своём репертуаре, ещё и убунту за собой потянет на дно)<br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#64 Wed, 28 May 2008 14:03:29 GMT &gt;Вот за что можноуважать Патрика Фолькердинга, так это за то, что он <br>&gt;не лезет внутрь сорцов грязными руками... <br><br>Это грабли о двух концах. Не знаю насчёт грязных (не встречался), но то, что рук у Патрика скорее две, чем двести -- предполагаю довольно уверенно.<br><br>Слакварь за это ванильное свойство любят иные ленивые апстримы, которым влом принимать и интегрировать стороннюю разработку ;)<br><br>В одном месте майнтейнер протупит, в другом -- апстрим... но не везде ж майнтейнеры только думают, что они умней апстрима.<br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#63 Wed, 28 May 2008 13:58:51 GMT http://openwall.com/lists/oss-security/2008/05/27/3<br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#62 Mon, 26 May 2008 10:46:41 GMT &gt;&gt;Я вообще живу под Fedora и мне хорошо... =) <br>&gt;<br>&gt;Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый <br>&gt;полигон редхата. <br><br>There is a slight difference between the test-spot and the circus. In the last case you are likely to act as a clown.<br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#61 Sun, 25 May 2008 09:53:10 GMT &gt;Я вообще живу под Fedora и мне хорошо... =) <br><br>Замечательно.А чего в федорином горе хорошего?Тестовый полигон редхата он и есть тестовый полигон редхата.<br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#60 Sat, 17 May 2008 00:20:59 GMT &gt;http://www.links.org/?p=328 <br><br>Там есть ссылка на оригинальное обсуждение<br>http://marc.info/?t=114651088900003&r=1&w=2<br><br>И имя благодетеля<br> Kurt Roeckx &lt;kurt () roeckx ! be&gt;<br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#59 Fri, 16 May 2008 12:38:20 GMT &gt;[оверквотинг удален]<br>&gt;Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости (http://lists.debian.org/debian-security-announce/2008/msg00152.html), связанной <br>&gt;с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую <br>&gt;злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей асимметричного <br>&gt;шифрования. Уязвимости подвержен только openssl пакет входящий в состав Debian и <br>&gt;Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана <br>&gt;некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года <br>&gt;(начиная с версии пакета 0.9.8c-1). <br>&gt;<br>&gt;URL: http://lists.debian.org/debian-devel-announce/2008/05/msg00003.html <br>&gt;Новость: http://www.opennet.ru/opennews/art.shtml?num=15846 <br><br>Рекламный слоган: Debian - you can never be sure!<br><br>http://img502.imageshack.us/img502/2996/pmeo9hcjp7aw9.jpg<br><br> https://www.opennet.dev/openforum/vsluhforumID3/41711.html#58 Fri, 16 May 2008 07:02:41 GMT &gt;Грамотный народ, расскажите в чем суть бага. Есть у меня приватный и <br>&gt;публичный ключ. Где именно они скомпрометированы? Можно восстановить приватный ключ по <br>&gt;публичному? К одному приватному подходят несколько публичных ключей? Ключи можно перебрать <br>&gt;по какому-то их подмножеству? <br><br>Ключи можно перебрать по подмножеству из примерно 260.000 вариантов. Обычная машина сделает за секунду.<br>https://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebianubuntu<br>