- Napište nám
- Kontakty
- Reklama
- VOP
- Osobní údaje
- Nastavení soukromí
- Cookies
- AV služby
- Kariéra
- Předplatné MF DNES
1. Co sa stalo? - Zmena kodu v jednom z modulov OpenSSL v debian sposobila, ze kluce generovane tymto modulom maju slabu mieru entropie a daju sa uhadnut. Tyka sa to vsetkych klucov generovanych v debian, cize SSH keys, OpenVPN keys, DNSSEC keys, X.509 certifikatov a klucov, ktora sa pouzivaju pri TLS/SSL session.
2. Ake distra su postihnute? - debian Etch, Lenny, Sid a derivaty. Ziadne ine distro pouzivajuce OpenSSL postihnute nie je, pretoze OpenSSL ako taka je v poriadku. (relativne :) ).
3. Su postihnute kluce generovane GnuPG a PGP? - Nie su. Ani na debiane, ani inde.
4. Ak mam RSA/DSA kluce generovane na Linuxe/Windows/BSD, mozem ich bezpecne pouzivat na postihnutom debiane? - Bohuzial nie, Tieto kluce su automaticky kompromitovane a mali by sa vyradit, pretoze cez DSA attack sa da vytiahnut privatny kluc.
5. Musim si kupit novy SSL certifikat? - Nie. Ak mas validne CSR, vsetky Certifikacne autority ti vydaju novy certifikat bezplatne po dobu zivnostnosti certifikatu. Verisign oznamil, ze vyda nahradu bezplatne, ak o nu poziadas do 30. juna.
6. Moje bankove konto je v ...... - Uplna chobotina. Banky nepouzivaju OpenSSL na generovanie klucov. Rovnako nepouzivaju ziadne linuxove distro out-of-the-box.
7. Toto je strasna IT tragedia, vacsia nez Cernobyl. - Uplna chobotina. Debian ma pod 3% serveroveho trhu.
8. Moj debian server je v nebezpeci, vsetci hackeri idu po mne - Uplna chobotina. Updatuj debian OpenSSL na najnovsiu verziu, regeneruj kluce a business as usual.
Zlaty Microsoft....
Linuxaci tam maji diru jako vrata od stodoly a dva roky nejsou schopni na to prijit.....
Nejsem fanatik, používám oba systémy. Ale tady se aspoň na chybu přišlo a je z toho průšvih. Ve Winech si může díru podobného kalibru udělat MS (nebo NSA) a přijde na ni kdo ?
>> Dva roky nikdo neřešil chybu v komponentě Debian OpenSSL.
Jenom bych poprosil redakci o opravu, ne že ji neřešili, vývojáři Debianu ji způsobili - knihovna je v pořádku.
http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/
Ani není potřeba nic opravovat, z článku se to dá dál pochopit.
Touto chybou byla zasažena pouze distribuce Debian GNU/Linux ve verzích Etch Lenny a Sid. Patch odstaňoval chybu v použití neinicializované paměti (dle prg. Valgrind).
Viz http://wiki.debian.org/SSLkeys#head-76415d1c2f25f12ebbcc99bb93959a97f18e3b88
Minimálně na Ubuntu se při automatické aktualizaci automaticky vygenerují nové klíče a instaluje se knihovna na detekci slabých klíčů. Proto bych to neviděl tak černě. Řekl bych, že tuto dobu je naprostá většina systémů už zabezpečena, přece jenom několik týdnů se o chybě už v distribucích ví.