envia la noticia  :  búsqueda avanzada  :  estadísticas del sitio  :  Wiki  :  Planeta  
    Grupo Linuxero del Bajío Software Libre para Guanajuato    
Búsqueda avanzada  
Secciones
Página Inicial
GLIB (258/0)
Noticias (159/0)
Artículos (252/0)
Anuncios (498/0)
Seguridad (31/0)
Educación (85/0)
Preguntas (355/0)
Choros Viejos (204/0)
FreEluX (22/0)
GLIr (2/0)
Leux (2/0)
Funciones del(a) usuario(a)
:

:

¿No tienes una cuenta todavía? Inscríbete
Lost your password?
Eventos
No hay próximos eventos
 Bienvenido(a) a Grupo Linuxero del Bajío
 jueves, mayo 23 2013 @ 05:48 CDT

Vulnerabilidad en el generador de números aleatorios de OpenSSL en Debian/Ubuntu

   
sábado, junio 07 2008 @ 11:55 CDT
Autor: RaMeL
Lecturas 719
SeguridadAlgo atrasada la noticia pero es bueno comentarlo....

Una vulnerabilidad en el paquete OpenSSL incluido en los sistemas Debian GNU/Linux y sus derivados puede causar que se generen llaves criptográficas débiles. Cualquier paquete que utilice la versión de SSL afectada, podría ser vulnerable.

Fecha de Liberación: 19 de Mayo de 2008
Ultima Revisión: 19 de Mayo de 2008
Fuente:
Riesgo: Crítico
Problema de Vulnerabilidad Local y remoto

1. Sistemas Afectados * Debian, Ubuntu y Sistemas basados en Debian

2. Descripción Existe una vulnerabilidad en el generador de números aleatorios utilizado por el paquete OpenSSL incluido en Debian GNU / Linux, Ubuntu y otros sistemas basados en Debian. Esta vulnerabilidad hace que el número generado pueda ser previsible.

El resultado de este error es que algunas claves de cifrado son más comunes de lo que debieran ser. Esta vulnerabilidad afecta a todas las aplicaciones que utilizan claves generadas con la versión afectada del paquete OpenSSL. Las llaves que pueden ser afectadas, sin que se limiten a las mismas, son las llaves de SSH, OpenVPN, DNSSEC y las llaves generadas para el usos de certificados en formato X.509 y las llaves de sesión utilizadas para conexiones SSL/TLS. Cualquier llave generada en o después del 17 de septiembre de 2006 pueden ser vulnerables. Las claves generadas con GnuPG, GNUTLS, ccrypt u otras aplicaciones de cifrado que no utilicen OpenSSL no son vulnerables debido a que utilizan sus propios generadores de número aleatorios.

3. Impacto

Un intruso, de forma remota y sin necesidad de autenticarse, podría adivinar la clave secreta. De igual forma, un intruso podría explotar esta vulnerabilidad para acceder al equipo afectado de forma no autorizada a través del sevicio afectado o hacer un ataque de “hombre en medio”.

4. Solución

Actualización
Debian y Ubuntu han publicado versiones corregidas de OpenSSL que reparan dicho problema. Los administradores podrán utilizar la aplicación ssh-vulnkey para checar si sus claves son vulnerables. Después de aplicar la actualización, es probable que los clientes no puedan conectarse a los servidores.

Solución temporal
Durante el período de tiempo en el que no se aplique la actualización, se deben tomar medidas para restringir el acceso a los servidores o equipos afectados. Para dicho fin, los sistemas basados en Debian y Ubuntu, pueden utilizar iptables o tcp-wrappers.

5. Referencias
* DSA-1571-1 openssl -- predictable random number generator - * Debian wiki - SSL keys - * Ubuntu OpenSSL vulnerability - * Ubuntu OpenSSH vulnerability - * Ubuntu OpenVPN vulnerability - * Ubuntu SSL-cert vulnerability - * Ubuntu OpenSSH update - * Ubuntu OpenVPN regression - * OpenVPN regression - * Vulnerability Note VU#925211 -

FUENTE: UNAM-CERT
 
Relacionado con esto...

Opciones de la Noticia

Vulnerabilidad en el generador de números aleatorios de OpenSSL en Debian/Ubuntu | 1 comentarios | Crea una cuenta nueva
Los siguientes comentarios son de la persona que los haya enviado. Este sitio no se hace responsable de las opiniones expresadas por los participantes en los foros y secciones de comentarios, y el hecho de publicar las mismas no significa que esté de acuerdo con ellas.
Vulnerabilidad en el generador de números aleatorios de OpenSSL en Debian/Ubuntu
Escrito por: linxe sobre lunes, junio 09 2008 @ 02:14 CDT
Yo lo vi desde que se anuncio en Kriptopolis, les anexo el enlace que redirige a otros mas profundos e interesantes (incluyendo 2 tiras comicas):
http://www.kriptopolis.org/chapuza-en-debian

y esta es la mejor:
http://imgs.xkcd.com/comics/security_holes.png

---
-= Linxe =-

[ Responde a | # ]
 Derechos de autor © 2013 Grupo Linuxero del Bajío
 Todas las marcas y derechos en esta página son de sus respectivos dueños.		 Otra web montada con Geeklog 
Esta página fue creada en 0,13 segundos