[Bulma] Sobre la vulnerabilidad de Debian - OpenSSL

Jose Ernesto Suarez suarez_ern en gva.es
Vie Mayo 16 13:37:35 CEST 2008 

Para todos los que hayais escuchado estos dias el problema de  
seguridad (http://lists.debian.org/debian-security-announce/2008/msg00152.html 
) que afecta a openssl en Debian, os dejo aqui un pequeño resumen para  
que os hagais una idea de la magnitud del fallo.

El problema es sencillo, alguien decidio eliminar ciertas lineas de  
codigo para evitar algunos warnings que generaban las herramientas  
Valgrind y Purify con cualquier codigo que estuviera relacionado con  
OpenSSL.Debian remitio un parche y OpenSSL lo acepto, por lo que el  
fallo puede reproducirse en sistemas que no sean Debian (o  
derivados).Al final el nuevo codigo utilizaba como datos aleatorios  
para generar claves unicamente el pid del proceso que los  
generaba...es decir, se paso de tener un espacio de claves de  2^1024  
a uno de solo 2^16... o lo que es lo mismo, 32.768 claves posibles  
(OMG!).Por ello, es conveniente actualizar todas las claves generadas  
por openssl de ordenadores afectados, no sin antes actualizar el  
paquete.

Para saber si estais afectados, podeis descargar las claves de aqui:

http://sugar.metasploit.com/debian_ssh_dsa_1024_x86.tar.bz2
http://sugar.metasploit.com/debian_ssh_rsa_2048_x86.tar.bz2

y comprobarlo mediante el siguiente codigo en ruby
http://www.milw0rm.com/exploits/5632

o en perl
http://www.milw0rm.com/exploits/5622

Debian ha publicado un wiki donde explica como solucionar el problema
http://wiki.debian.org/SSLkeys

y HD Moore ha publicado un articulo donde explica como aprovecharse de  
el, ademas de como solucionarlo
http://metasploit.com/users/hdm/tools/debian-openssl/

Ademas existe informacion en

http://www.kriptopolis.org/chapuza-en-debian
http://barrapunto.com/articles/08/05/13/1442221.shtml
http://blog.zakame.net/news/openssl-remote-dsa-1571

Espero que esto os sirva de ayuda a todos los administradores que  
habitais la lista.Personalmente tenia 8 servidores afectados... ahora  
ya esta solucionado.La manera rapida consiste en hacer un upgrade y  
dejar que el sistema regenere las llaves.... aunque en algunos casos  
es algo mas complicado.

Más información sobre la lista de distribución Bulmailing