Pěkný souhrn z Živě

1. Co sa stalo? - Zmena kodu v jednom z modulov OpenSSL v debian sposobila, ze kluce generovane tymto modulom maju slabu mieru entropie a daju sa uhadnut. Tyka sa to vsetkych klucov generovanych v debian, cize SSH keys, OpenVPN keys, DNSSEC keys, X.509 certifikatov a klucov, ktora sa pouzivaju pri TLS/SSL session.

2. Ake distra su postihnute? - debian Etch, Lenny, Sid a derivaty. Ziadne ine distro pouzivajuce OpenSSL postihnute nie je, pretoze OpenSSL ako taka je v poriadku. (relativne :) ).

3. Su postihnute kluce generovane GnuPG a PGP? - Nie su. Ani na debiane, ani inde.

4. Ak mam RSA/DSA kluce generovane na Linuxe/Windows/BSD, mozem ich bezpecne pouzivat na postihnutom debiane? - Bohuzial nie, Tieto kluce su automaticky kompromitovane a mali by sa vyradit, pretoze cez DSA attack sa da vytiahnut privatny kluc.

Re: Pěkný souhrn z Živě

5. Musim si kupit novy SSL certifikat? - Nie. Ak mas validne CSR, vsetky Certifikacne autority ti vydaju novy certifikat bezplatne po dobu zivnostnosti certifikatu. Verisign oznamil, ze vyda nahradu bezplatne, ak o nu poziadas do 30. juna.

6. Moje bankove konto je v ...... - Uplna chobotina. Banky nepouzivaju OpenSSL na generovanie klucov. Rovnako nepouzivaju ziadne linuxove distro out-of-the-box.

7. Toto je strasna IT tragedia, vacsia nez Cernobyl. - Uplna chobotina. Debian ma pod 3% serveroveho trhu.

8. Moj debian server je v nebezpeci, vsetci hackeri idu po mne - Uplna chobotina. Updatuj debian OpenSSL na najnovsiu verziu, regeneruj kluce a business as usual.

A pak ze je Linux bezpecny

Zlaty Microsoft....

Linuxaci tam maji diru jako vrata od stodoly a dva roky nejsou schopni na to prijit.....

Re: A pak ze je Linux bezpecny

Nejsem fanatik, používám oba systémy. Ale tady se aspoň na chybu přišlo a je z toho průšvih. Ve Winech si může díru podobného kalibru udělat MS (nebo NSA) a přijde na ni kdo ?

Oprava

>> Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL.

Jenom bych poprosil redakci o opravu, ne že ji neřešili, vývojáři Debianu ji způsobili - knihovna je v pořádku.

http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/

Re: Oprava

Ani není potřeba nic opravovat, z článku se to dá dál pochopit.

No flame

Touto chybou byla zasažena pouze distribuce Debian GNU/Linux ve verzích Etch Lenny a Sid. Patch odstaňoval chybu v použití neinicializované paměti (dle prg. Valgrind).

Viz http://wiki.debian.org/SSLkeys#head-76415d1c2f25f12ebbcc99bb93959a97f18e3b88

Oprava - klíče se vygenerují nové automaticky

Minimálně na Ubuntu se při automatické aktualizaci automaticky vygenerují nové klíče a instaluje se knihovna na detekci slabých klíčů. Proto bych to neviděl tak černě. Řekl bych, že tuto dobu je naprostá většina systémů už zabezpečena, přece jenom několik týdnů se o chybě už v distribucích ví.