Администраторы серверов проекта debian.org заблокировали все аккаунты, доступ
к которым осуществлялся посредством аутентификации по открытым ключам в SSH, и
изменили на случайные наборы символов все пароли разработчиков, хранящиеся в
LDAP базе.

Подобный шаг стал необходимостью, после обнаружения в openssl пакете
уязвимости, связанной с возможностью предсказания значений выдаваемых
генератором случайных чисел opennssl, через которую злоумышленник теоретически
может предугадать значения сгенерированных при помощи openssl ключей шифрования,
например, ключей SSH, OpenVPN, DNSSEC, сертификатов X.509. Ключи сгенерированные
при помощи GnuPG или GNUTLS не подвержены проблеме.

Уязвимости подвержен только openssl пакет входящий в состав Debian и Ubuntu,
а также построенных на их основе дистрибутивов. Проблема была вызвана
некорректным патчем к OpenSSL, используемом при сборке пакета с 2006 года
(начиная с версии пакета 0.9.8c-1). Была проведена чистка кода на предмет
устранения предупреждений компилятора, что привело к избавлению от передачи
неинициализированного блока памяти, который по задумке разработчиков должен был
выступать в роли источника энтропии для генератора случайных чисел). Более того,
в OpenSSL реализации протокола DTLS (Datagram TLS, также известен как "SSL over
UDP") найдена уязвимость, позволяющая злоумышленнику выполнить свой код.



Оставить мнение