13.05.2008 23:11 Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL.
Администраторы серверов проекта debian.org заблокировали все аккаунты, доступ к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и изменили на случайные наборы символов все пароли разработчиков, хранящиеся в LDAP базе.
Подобный шаг стал необходимостью, после обнаружения в openssl пакете уязвимости, связанной с возможностью предсказания значений выдаваемых генератором случайных чисел opennssl, через которую злоумышленник теоретически может предугадать значения сгенерированных при помощи openssl ключей шифрования, например, ключей SSH, OpenVPN, DNSSEC, сертификатов X.509. Ключи сгенерированные при помощи GnuPG или GNUTLS не подвержены проблеме.
Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu, а также построенных на их основе дистрибутивов. Проблема была вызвана некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года (начиная с версии пакета 0.9.8c-1). Была проведена чистка кода на предмет устранения предупреждений компилятора, что привело к избавлению от передачи неинициализированного блока памяти, но не учли, что по задумке разработчиков этот блок должен выступать в роли источника энтропии для генератора случайных чисел.
Более того, в OpenSSL реализации протокола DTLS (Datagram TLS, также известен как "SSL over UDP") найдена уязвимость, позволяющая злоумышленнику выполнить свой код.
(источник
http://www.opennet.ru/opennews/art.shtml?num=15846)
Тема: Неприятная вещь.. (Прочитано 1512 раз)
