Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Kritická chyba: dva roky byly vaše zabezpečené komunikace nezabezpečené

Závažná chyba při generování klíčů prostřednictvím systému Debian OpenSSL způsobuje bezpečnostní hrozbu, jejíž důsledky přetrvávají i po opravě a může mít vliv i na další operační systémy.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

Nemo7

Pěkný souhrn z Živě

1. Co sa stalo? - Zmena kodu v jednom z modulov OpenSSL v debian sposobila, ze kluce generovane tymto modulom maju slabu mieru entropie a daju sa uhadnut. Tyka sa to vsetkych klucov generovanych v debian, cize SSH keys, OpenVPN keys, DNSSEC keys, X.509 certifikatov a klucov, ktora sa pouzivaju pri TLS/SSL session.

2. Ake distra su postihnute? - debian Etch, Lenny, Sid a derivaty. Ziadne ine distro pouzivajuce OpenSSL postihnute nie je, pretoze OpenSSL ako taka je v poriadku. (relativne :) ).

3. Su postihnute kluce generovane GnuPG a PGP? - Nie su. Ani na debiane, ani inde.

4. Ak mam RSA/DSA kluce generovane na Linuxe/Windows/BSD, mozem ich bezpecne pouzivat na postihnutom debiane? - Bohuzial nie, Tieto kluce su automaticky kompromitovane a mali by sa vyradit, pretoze cez DSA attack sa da vytiahnut privatny kluc.

0/0
26.5.2008 17:46

Nemo7

Re: Pěkný souhrn z Živě

5. Musim si kupit novy SSL certifikat? - Nie. Ak mas validne CSR, vsetky Certifikacne autority ti vydaju novy certifikat bezplatne po dobu zivnostnosti certifikatu. Verisign oznamil, ze vyda nahradu bezplatne, ak o nu poziadas do 30. juna.

6. Moje bankove konto je v ...... - Uplna chobotina. Banky nepouzivaju OpenSSL na generovanie klucov. Rovnako nepouzivaju ziadne linuxove distro out-of-the-box.

7. Toto je strasna IT tragedia, vacsia nez Cernobyl. - Uplna chobotina. Debian ma pod 3% serveroveho trhu.

8. Moj debian server je v nebezpeci, vsetci hackeri idu po mne - Uplna chobotina. Updatuj debian OpenSSL na najnovsiu verziu, regeneruj kluce a business as usual.

0/0
26.5.2008 17:46

debianista

Re: Re: Pěkný souhrn z Živě

Plne s tebou súhlasím.  :)

A ostaní - neposerte sa.

0/0
21.6.2008 11:03

Franta

A pak ze je Linux bezpecny

Zlaty Microsoft....

Linuxaci tam maji diru jako vrata od stodoly a dva roky nejsou schopni na to prijit.....

0/0
26.5.2008 17:09

Nemo7

Re: A pak ze je Linux bezpecny

Nejsem fanatik, používám oba systémy. Ale tady se aspoň na chybu přišlo a je z toho průšvih. Ve Winech si může díru podobného kalibru udělat MS (nebo NSA) a přijde na ni kdo ?

0/0
26.5.2008 17:23

Polaris

Re: Re: A pak ze je Linux bezpecny

No přece mimozemšťani. Když už do toho taháš kraviny, jako NSA ;-)

0/0
27.5.2008 10:15

Nemo7

Re: Re: Re: A pak ze je Linux bezpecny

NSA MS s šifrováním vypomáhá... Víte vůbec, co je NSA ? Šifry a šifry. :-) http://www.nsa.gov/public/

The National Security Agency/Central Security Service has served as America’s codemakers and codebreakers for over 50 years. At no point in the Agency’s history has it been more important to share information about its rich legacy and to educate the public on its missions to protect our nation.

0/0
27.5.2008 20:16

core

Re: A pak ze je Linux bezpecny

Je to chyba, ale zkus se zamyslet, jak dlouho jsou asi neobjevene chyby v uzavrenem kodu. A i kdyz jsou objevene, tak se o tom nedozvis.

0/0
27.5.2008 10:06

Polaris

Re: Re: A pak ze je Linux bezpecny

No a? Zkus se třeba ty zamyslet, kolik lidí o téhle legrácce díky otevřenému kódu vědělo už rok a mlčelo a.....

A kolikpak asi hlupáčků, co si od nějakého geeka nechali nainstalovat "dokonalý" Linux má teď nezabezpečené stroje a nikdo to už nikdy neopatchuje, protože geeka už mezitím baví někde jinde něco jiného? ;-)

0/0
27.5.2008 10:17

Nemo7

Re: Re: Re: A pak ze je Linux bezpecny

Patchuje se to samo, pokud jsou nastavené automatické aktualizace...

0/0
27.5.2008 13:30

shweed

Re: Re: Re: A pak ze je Linux bezpecny

viš co je ssl viš co je ssh, viš vubec co je linux. tak sem neval takove bludy. NEjedna se o cernobyl v linuxu jedna se o postizeni jednoho distra. 2 roky se nic nedele pravdepodobne proto, ze zneuziti neni az tak easy jak se v clanku pise..

0/0
27.5.2008 15:08

debianista

Re: A pak ze je Linux bezpecny

Windows je "díra" sama o sebe.  Aby si si neposral ty gatesov pohrobok.

0/0
21.6.2008 11:04

Nemo7

Oprava

>> Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL.

Jenom bych poprosil redakci o opravu, ne že ji neřešili, vývojáři Debianu ji způsobili - knihovna je v pořádku.

http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/

0/0
26.5.2008 13:45

Nemo7

Re: Oprava

Ani není potřeba nic opravovat, z článku se to dá dál pochopit.

0/0
26.5.2008 14:00

mizar

No flame

Touto chybou byla zasažena pouze distribuce Debian GNU/Linux ve verzích Etch Lenny a Sid. Patch odstaňoval chybu v použití neinicializované paměti (dle prg. Valgrind).

Viz http://wiki.debian.org/SSLkeys#head-76415d1c2f25f12ebbcc99bb93959a97f18e3b88

0/0
26.5.2008 11:37

kuba

Oprava - klíče se vygenerují nové automaticky

Minimálně na Ubuntu se při automatické aktualizaci automaticky vygenerují nové klíče a instaluje se knihovna na detekci slabých klíčů. Proto bych to neviděl tak černě. Řekl bych, že tuto dobu je naprostá většina systémů už zabezpečena, přece jenom několik týdnů se o chybě už v distribucích ví.

0/0
26.5.2008 7:47

Kom

Re: Oprava - klíče se vygenerují nové automaticky

Tohle bude fungovat jenom tam, kde jsou všichni uživatelé v jedné organizaci. Pokud je to použito v nějaké aplikaci B2C, tak to může trvat docela dloubho, než se všechny staré klíče "vyčistí".

Navíc 50% adminů aktualizuje s velkým zpožděním.

Tak nevi, kde zůstala open source komunita, hlídající bezpečnost kódu? Že by to nějak nefungovalo?

0/0
26.5.2008 9:21

lipsynk

Re: Oprava - klíče se vygenerují nové automaticky

Rofl ono to funguje blbe, tak misto opravy nainstalujeme knihovnu pro kontrolu tehle chyby, wtf jak sakra chcete s timhle jit proti Windows? 2 roky tam je dira jak prase, ale krasny barevny ubuntu to mozna ma v poradku... Slack to mel v poradku btw, protoze to neni distribuce, kde tzv. opensource komunita jen vykrada ostatni a dodelavaj omalovanky.

0/0
26.5.2008 10:21

kuba

Re: Re: Oprava - klíče se vygenerují nové automaticky

Samozřejmě že je vydána i oprava, o tom přece nikdo nepochyboval, nebo snad ano? ;-) 2 roky je tam díra jak prase, o které 2 roky nikdo neví ;-)

To se Slackem jsem nepochopil, byla to chyba Debianistů.

0/0
26.5.2008 10:27

lipsynk

Re: Re: Re: Oprava - klíče se vygenerují nové automaticky

Jisteze o ni nekdo vi, ale vsichni nemaji cas sledovat blogy a magaziny, aby vedeli, ze neco zlobi a jeste na to neni oprava. To jsme mohli chtit po adminech, ale kdyz si hrajeme na desktopovy os, tak na tyhle komentare neni moc prostoru: sila opensource je v komunite a pokud ta s tim nepohnula a ted ukazuje prstem na 'toho druheho', tak je to spatne. Nebo uz jsme vazne v dobe, kdy si sve distrubuce resi firmy samy a nenechaji si do toho kecat a pak se ukazuje, ze Microsoft ke stejnemu reseni dospel uz pred 30 lety a opensource to ted zaziva jak blbej znova - coz celkem odpovida predpokladu, ze ty nejvetsi prusery nas teprve cekaji.

0/0
26.5.2008 13:04

mizar

Re: Re: Re: Re: Oprava - klíče se vygenerují nové automatick

Skoro nemá cenu na toto reagovat ale nedá mi to.

a) Jaké bylo zpoždění od objevení chyby k vydání patche?  Měsíc určitě ne. Asi tak jeden den.

b) m$ před 30 lety? 3 roky po založení? rofl... a že by 86-DOS naprogramovali sami?? 8-o:-©

0/0
26.5.2008 14:02

lipsynk

Re: Re: Re: Re: Re: Oprava - klíče se vygenerují nové automa

Nesmysl, o chybe v klicich se vedelo uz davno (kdybys vic hledal, nez kecal); prinejmensim pri hashovacich testech byly sporne vysledky a revize byla v navrhu jeste loni, kdy to po nas chtela banka. Samozrejme se prave na tom nejvic ukazuje starej podvod, kterej komunita ve sve evangelizaci pacha na zbytku sveta: ani v tak kriticke situaci nebyla zadna skupina, ktera by prosla ty zdrojaky a nasla chybu. Prestoze jsme posilali zadosti vyvojarum, NIC. Musel na to prijit nekdo, kdo si pamatoval, ze kdysi neco zmenil. Takze zpozdeni? Asi tak dva roky.Pricemz na odhaleni realne stacilo, kdyby si posledni trouba v kancelari nechal pomerne kratkou dobu generovat klice na svem vlastnim pocitaci.

Kdyby ti to priste zase nedalo a zamyslel ses, tak by sis vsiml, ze zminkou o MS kritizuju presne to co pises ty.

0/0
27.5.2008 8:48







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.