Odkrita resna varnostna pomankljivost v Debianovem naključnem generatorju števil za OpenSSL
Slo-Tech - Kot poročajo na poštnem seznamu Debianove skupine za zagotavljanje informacijske varnosti, je raziskovalec Luciano Bello odkril, da OpenSSL paket Linux distribucije Debian vsebuje predvidljiv generator naključnih števil.
Do napake je prišlo zaradi prilagoditev paketa distribuciji Debian, kar pomeni, da so neposredno prizadeti samo Debian in na njem temelječi sistemi (tudi Ubuntu!). Ranljivost vsebujejo vse različice openssl kasnejše od 0.9.8c-1, ki je bila sprejeta v Debianova skladišča 17. septembra 2007.
Zaradi ranljivosti se priporoča menjavo vseh kriptografskih ključev za SSH, OpenVPN, DSNSEC, SSL/TLS ter ključe uporabljene v X.509 certifikatih. Prav tako so kompromitirani tudi vsi DSA ključi uporabljeni za podpisovanje in avtentikacijo, saj Digital Signature Algorithm uporablja ranljivi naključni generator števil. GnuPG in GNUTLS ključi niso kompromitirani.
Uporabnikom Debiana, Ubuntuja in ostalih na Debianu temelječih distribucij svetujemo čimprejšnjo varnostno posodobitev...
Do napake je prišlo zaradi prilagoditev paketa distribuciji Debian, kar pomeni, da so neposredno prizadeti samo Debian in na njem temelječi sistemi (tudi Ubuntu!). Ranljivost vsebujejo vse različice openssl kasnejše od 0.9.8c-1, ki je bila sprejeta v Debianova skladišča 17. septembra 2007.
Zaradi ranljivosti se priporoča menjavo vseh kriptografskih ključev za SSH, OpenVPN, DSNSEC, SSL/TLS ter ključe uporabljene v X.509 certifikatih. Prav tako so kompromitirani tudi vsi DSA ključi uporabljeni za podpisovanje in avtentikacijo, saj Digital Signature Algorithm uporablja ranljivi naključni generator števil. GnuPG in GNUTLS ključi niso kompromitirani.
Uporabnikom Debiana, Ubuntuja in ostalih na Debianu temelječih distribucij svetujemo čimprejšnjo varnostno posodobitev...