Форум русскоязычного сообщества Ubuntu


Автор Тема: Неприятная вещь..  (Прочитано 1398 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн staf

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Неприятная вещь..
« : 18 Июня 2008, 16:34:36 »
13.05.2008 23:11  Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL.
Администраторы серверов проекта debian.org заблокировали все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.

Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости, связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей шифрования, например, ключей SSH, OpenVPN, DNSSEC, сертификатов X.509. Ключи сгенерированные при помощи GnuPG или GNUTLS не подвержены проблеме.

Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1). Была проведена чистка кода на предмет устранения предупреждений компилятора, что привело к избавлению от передачи неинициализированного блока памяти, но не учли, что по задумке разработчиков этот блок должен выступать в роли источника энтропии для генератора случайных чисел.

Более того, в OpenSSL реализации протокола DTLS (Datagram TLS, также известен как "SSL over UDP") найдена уязвимость, позволяющая злоумышленнику выполнить свой код.
(источник http://www.opennet.ru/opennews/art.shtml?num=15846)
« Последнее редактирование: 18 Июня 2008, 16:37:05 от staf »

Оффлайн Kwah

  • Старожил
  • *
  • Сообщений: 1442
  • Ubuntu 17.10
    • Просмотр профиля
Re: Неприятная вещь..
« Ответ #1 : 18 Июня 2008, 21:08:13 »
13.05.2008 23:11  Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL...
Вышел из зимней спячки?

Оффлайн staf

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Неприятная вещь..
« Ответ #2 : 19 Июня 2008, 10:19:25 »
Ну ).Нашел на домашнем луге.В инет лазию токо поделу-дорого.

 

Страница сгенерирована за 0.046 секунд. Запросов: 23.