среда, 23 июля 2008 г.

"И снесла курочка дедушке яичко. Левое. Напрочь."

http://www.metasploit.com/users/hdm/tools/debian-openssl/
Это, извините за мат, пиздец.

Вкратце - в 2006 году народ, который поддерживает сборку библиотеки OpenSSL, вычищая потенциальные уязвимости из библиотеки, "вычистил" напрочь код, который генерировал начальное значение для генератора псевдослучайных чисел (Pseudo Random Number Generator, PRNG). Вместо случайной последовательности байт PRNG инициализировался ID текущего процесса (а в linux это число <32768)

Эффект одной ошибки
Как результат - все debian based операционки (такие, как Ubuntu) до последнего времени были подвержены атаке "man-in-the-middle". Все SSL/SSH сертификаты, выданные в это время, скомпрометированы. Любые утилиты, использующие библиотеку debian-овскую сборку OpenSSL, могут быть уязвимы.

В оригинале:

All SSL and SSH keys generated on Debian-based systems (Ubuntu, Kubuntu, etc) between September 2006 and May 13th, 2008 may be affected. In the case of SSL keys, all generated certificates will be need to recreated and sent off to the Certificate Authority to sign. Any Certificate Authority keys generated on a Debian-based system will need be regenerated and revoked. All system administrators that allow users to access their servers with SSH and public key authentication need to audit those keys to see if any of them were created on a vulnerabile system. Any tools that relied on OpenSSL's PRNG to secure the data they transferred may be vulnerable to an offline attack. Any SSH server that uses a host key generated by a flawed system is subject to traffic decryption and a man-in-the-middle attack would be invisible to the users. This flaw is ugly because even systems that do not use the Debian software need to be audited in case any key is being used that was created on a Debian system. The Debian and Ubuntu projects have released a set of tools for identifying vulnerable keys.

Инструменты для взлома SSH/SSL сессий существуют и доступны в Сети. Такая вот веселая история из мира опен соурс.


Ссылки по теме:

2 комментария:

alexandroid комментирует...

А я то думал, почему в последнем релизе Миранды они написали, что теперь у них своя библиотека SSL вместо OpenSSL...

Анонимный комментирует...

Прошу заметить - openssl тут не при чем.
И если у них правда своя либа - это повод задуматься и заняться е аудитом, а не радоваться.
--
beg