Los encargados del mantenimiento de Debian crearon al parecer el bug al borrar código que servía de base a la generación del número aleatorio utilizado para calcular las claves de cifrado.
El resultado fue que el generador del número aleatorio utilizado en el paquete OpenSSL de Debian puede predecirse, haciendo que las claves puedan adivinarse con facilidad.
El aviso de Debian Security, DSA-1571-1 dice: “Las claves afectadas son las SSH, OpenVPN; DNSSEC y material para uso en certificados X.509 y claves de sesión utilizadas en conexiones SSL/TLS. Las claves generadas con GnuPG o GNUTLS no se han visto afectadas.”
El aviso publica también las URLs para un detector de claves de cifrado débil, así como las instrucciones para implantar claves giratorias.
La vulnerabilidad sólo se produce en sistemas Linux Debian o derivados de Debian, pero en ellos también se incluyen las versiones Ubuntu de Linux que se han hecho tan populares últimamente entre los usuarios casuales de sobremesa de Linux.
Muchos usuarios no tendrían que verse afectados por este bug del SSL a menos que hubiesen generado claves cifradas para acceso SSH entre los sistemas o firma digital o certificados de autentificación.
vINQulos
The Inquirer UK
Por eso nunca me han gustado las distribuciones donde le mueven al codigo y no le avisan al autor. No mandan el codigo para que lo examine y lo integre al codigo estable. Debian lo hace mucho en las aplicaciones y Redhat en el Kernel.
Por eso Slackware Rule!!!
Es una vulnerabilidad grave en lo que respecta a seguridad. En principio no es que afecte al usuario normal. De hecho, si no se requiere mucha seguridad probablemente ni siquiera te importe, pero para entornos donde sí se requiere esta seguridad es prioritario actualizar y renovar la clave, si se generó de 2006 en adelante.
Diana
Han sacado hoy la actualización. La noticia debería estar redactada en pasado.
Pingback: Debian encuentra una vulnerabilidad en su OpenSSL
Tienes razón Mike, la actualización ya fué lanzada al público, tanto así que ayer 13 de Mayo pude actualizar OpenSSL para evitar problemas, jajajaja, me siento tan tranquilo en Ubuntu y Debian, una vulnerabilidad importante solo tarda menos de 48 horas en solucionarse.
Se tardan más en buscar y redactar la noticia que en lo que se soluciona el problema.
#Miguel B.R.
Red Hat no esconde nada del kernel a nadie, es más si no fuera por Red Hat el kernel Linux no avanzaría a tanta velocidad como lo hace.
Otra cosa es que hagan apaños al código que ellos consideran mejoras pero que Linus y el mantenedor oficial del kernel (ahora no me acuerdo del nombre) decidan no incluirlos en la distribución vanilla del kernel.
Debian tampoco esconde nada a nadie, las fuentes están en los repositorios debian por si alguien quiere consultarlas. ¿Por qué no se ponen en contacto con los creadores? Porque con los miles de paquetes que mantienen y a veces los cambios mínimos que hacen sobre ellos (como simplemente cambiar una imagen) les quitaría tiempo de desarrollo y eso no es nada bueno.
la vulnerabilidad fue en debilidad de contraseñas, la verdad. ni modo, el costo de la innovacion.
Uhm, ayer me llego la actualización como importante y apenas vengo leyendo que se trata de esto, jo, ¿cuanto tardaron en arreglarlo?, ¿y cuanto tardan otros sistemas operativos en arreglar problemas de seguridad?
A mi ni me aporren porque soy usuario medio y solo digo lo que veo ¬¬
@Hebi
Bueno.. esta tiene 1 mes:
http://www.microsoft.com/technet/security/advisory/951306.mspx
magtec, estamos discutiendo sobre vulnerabilidades sobre sistemas en serio no juguetes.
Cuando vi la noticia ya había instalado la actualización, tengo poco tiempo con GNU Linux y cada día me sorprende mas (siempre gratamente) tengo mi partición de Windows pero poco a poco va perdiendo espacio en mi disco duro. Saludos a todos
Hay que aclarar que este bug no afecta las contraseñas (pass-phrase), sino las claves que fueron generadas con ssh-keygen, y además el bug no fue culpa de ssh, sino de como se inicializaba una variable de la función para generar números aleatorios adentro de la biblioteca de openssl.
No tiene nada que ver con las contraseñas.
@Paxet: No estoy de acuerdo contigo… Con este caso se ha demostrado que en Debian se cambian determinados paquetes demasiado alegremente y sin tener ni idea de los efectos que éso va a producir.
En Debian han asimilado unos roles (modificación de sources) que no les corresponden. Ellos simplemente deberían empaquetar y distribuir las versiones ejecutables adecuadas a tu sistema.
#nom: Debian mantiene una base de arquitecturas compatibles envidiable por cualquier otro sistema operativo. Hay veces que deben hacer cambios para poder compilarlo en todos los sistemas. Quizá ello implique que puedan aparecer bugs de vez en cuando, pero creeme que para nada hacen cambios alegres en las fuentes si no deben.
#nom
¡Te has metido con Debian! Ya no te ajunto.
Pingback: Apocalypse Now | Ni Mucho Ni Poco
Disculpen mi ignorancia… pero como puedoactualizar mi openssl para resolver este problema?? :-(
De antemano, muchas gracias :-)