Historias
Slashboxes
Comentarios
 

Debilidad criptográfica en los paquetes openssl de Debian

editada por inniyah el 13 de Mayo 2008, 14:21h   Printer-friendly   Email story
desde el dept. seguridad-criptográfica
Luciano Bello, desarrollador argentino de Debian, ha descubierto que el generador de números aleatorios del paquete openssl de Debian es predecible (DSA-1571-1), lo que implica una debilidad criptográfica bastante importante. Las claves afectadas incluyen las claves SSH, OpenVPN, DNSSEC, y las usadas en los certificados X.509 y en las sesiones SSL/TLS. Las claves generadas con GnuPG o GNUTLS no está afectadas. La primera versión afectada por este problema es 0.9.8c-1 (sarge no está afectada). Para la distribución estable, estos problemas ya han sido corregidos en la versión 0.9.8c-4etch3. El proyecto Debian ha deshabilitado las conexiones con clave ssh como medida de seguridad en su infraestructura interna como respuesta.
Actualización: 05/13 17:11 GMT por inniyah: Zak B. Elep enlaza en su bitácora con un programa que permite comprobar fácilmente si nuestras claves públicas OpenSSH o OpenVPN son lo suficientemente débiles como para que necesiten ser reemplazadas. Además indica cómo regenerar las claves RSA y DSA del servidor openssh-server, lo que es bastante recomendable.
Actualización: 05/13 20:21 GMT por inniyah: Resumen para el usuario final de los programas afectados y cómo afrontar el problema.
Actualización: 05/14 07:48 GMT por inniyah: Erich Schubert plantea en su bitácora dudas muy serias sobre si el problema es realmente de Debian o si confiar en los contenidos de la memoria no inicializada es más bien un fallo de diseño de los propios desarrolladores de openssl que, por otra parte, tampoco vieron ningún problema en el parche propuesto por Debian. Aigars Mahinovs da más pistas de cómo se ha podido llegar a esta situación.
Actualización: 05/15 15:06 GMT por inniyah: H. D. Moore, creador del proyecto MetaSploit, ha publicado un artículo sobre la extensión del problema. Ya han aparecido exploits que aprovechan esa vulnerabilidad. Se deben considerar comprometidas todas las claves DSA que hayan sido usadas alguna vez en un sistema afectado, tanto para firma como para autentificación.

Historias relacionadas

[+] Debian: Nuevas herramientas para explotar el bug de Debian/OpenSSL 13 comentarios
pobrecito hablador nos cuenta: «Luciano Bello, el descubridor del problema en el PRNG del paquete OpenSSL de Debian, junto a Maximiliano Bertacchini y Paolo Abeni, ha desarrollado un parche para wireshark que permite descifrar las comunicaciones SSL que se hayan realizado con versiones vulnerables de este paquete.»
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Ojo, no solo debian

    (Puntos:4, Informativo)
    por suy (8275) el Martes, 13 Mayo de 2008, 14:54h (#1043204)
    ( http://www.badopi.org/ | Última bitácora: Sábado, 25 Septiembre de 2010, 17:26h )

    El primer comentario de la noticia en LWN enlazada, ya pregunta sobre versiones derivadas de Debian, y la respuesta que le dan es que sí, que es más que posible que algunas distribuciones que usan los paquetes de Debian también se vean afectadas.

    --

    Escribiendo de demasiadas cosas [barnacity.net] desde 2003.

  • predecibles?

    (Puntos:3, Divertido)
    por pobrecito hablador el Martes, 13 Mayo de 2008, 15:14h (#1043209)
    Esto a microsoft nunca le pasaría.
    • Re:predecibles?

      (Puntos:4, Interesante)
      por Zarate (28485) el Martes, 13 Mayo de 2008, 15:18h (#1043211)
      ( http://blog.zarate.tv/ )
      Claro, sólo empleados de MS ven su código. Si encontraran un bug de estos lo arreglarían sin decir anda a nadie.

      Cosa muy distinta a que no tengan bugs.

      Es un clásico, pero se ve que hay que repetirlo muchas veces.
      --
      Juan Delgado - Zárate [zarate.tv] | ZBlog [zarate.tv]
      [ Padre ]
    • Re:predecibles? de pobrecito hablador (Puntos:3) Martes, 13 Mayo de 2008, 16:10h
  • ¿Debilidad Criptográfica?

    (Puntos:1, Inspirado)
    por pobrecito hablador el Martes, 13 Mayo de 2008, 15:32h (#1043214)
    JA, Ja Ja ... El lenguaje es perverso. Si fuera Microsoft, sería un peazo AGUJERO del tamaño de la tierra, pero como es Linux, es una "Debilidad Criptográfica" . JA, JA, JA.
  • libssl, no openssh

    (Puntos:4, Informativo)
    por lucianobello (16581) el Martes, 13 Mayo de 2008, 16:20h (#1043236)
    Me parece mejor que la noticia haga referencia a libssl, ya que es la vulnerable. Todas aquellas aplicaciones que generen certificados, llaves, números de sesión o random en general y que utilicen libssl estarían involucradas, openssh es solo una de ellas. Si ustedes compilaron estáticamente cosas con libssl, recompilen. saludos, luciano www.lucianobello.com.ar
  • Sobre la actualización

    (Puntos:3, Informativo)
    por pobrecito hablador el Martes, 13 Mayo de 2008, 17:42h (#1043273)
    inniyah, el script en perl sólo comprueba _algunas_ de las claves frágiles, no asegura que sean _todas_ las que tenga; además de que sólo es una lista para la configuración más típica, no para todas:

    dowkd currently handles OpenSSH host and user keys and OpenVPN shared
    secrets, as long as they use default key lengths and have been created
    on a little-endian architecture (such as i386 or amd64). Note that
    the blacklist by dowkd may be incomplete; it is only intended as a
    quick check.
  • Un desastre

    (Puntos:3, Inspirado)
    por pleyades (544) el Martes, 13 Mayo de 2008, 23:43h (#1043359)
    ( http://barrapunto.com | Última bitácora: Miércoles, 03 Noviembre de 2010, 20:48h )

    Del enlace Programas afectados [debian.org]

    How weak?So there may, in fact, be just a few thousand possibilities for a specific key size. Looks like 'dowkd.pl' lists about 262,000 entries.

    ¿He entendido mal o dice que para un tamaño de, pongamos 1024 bits, sólo generaba unos pocos miles de claves distintas? Eso quiere decir que con fuerza bruta puede romperse en minutos ¿no?

    Todas la información cifrada con esos sistemas y accesible al publico está comprometida. Todos los e-mails cifrados están comprometidos.

    Yo calificaría esto de desastre

    En cualquier caso, si un bug de generar números aleatorios ha pasado desapercibido con las fuentes delante de las narices, al alcance de sabios y profanos, me pregunto que tipo de claves aleatorios generará un sistema cerrado.

    ¡¡Con que facilidad nos pueden colar un puerta trasera!!

  • Sobre la tercera actualizacion

    (Puntos:3, Informativo)
    por Draco (3721) el Miércoles, 14 Mayo de 2008, 08:51h (#1043412)
    ( Última bitácora: Viernes, 02 Enero de 2009, 18:47h )
    La tercera actualización de la entrada por parte inniyah, lleva a un blog de alguien que admite que no se ha mirado el código pero se atreve a afirmar que toda fuente de entropía en OpenSSL es el uso de memoria no inicializada y el PID del proceso.

    Por si éso ha escandalizado a alguien, que se desescandalize: los desarrolladores de OpenSSL no son idiotas.

    Recomiendo la lectura de este comentario [slashdot.org] de slashdot que yo creo que aclara bastante. Los dos trozos de código comentados, aunque idénticos, no tienen el mismo efecto. En un caso sí se usa memoria no inicializada y se puede quitar ya que no gran cosa. En el otro, el buffer sí está inicializado y quitar ese trozo de código es fatal.
    --

    Programs should be written for people to read, and only incidentally for machines to execute

  • Se ha publicado una actualizacion

    (Puntos:2, Informativo)
    por juanjoapertus (31429) el Miércoles, 14 Mayo de 2008, 10:23h (#1043441)
    ( http://www.apertus.es/ | Última bitácora: Lunes, 22 Noviembre de 2010, 14:05h )
    Un día después del anuncio de la actualización para openssl se ha publicado uno nuevo para openssh para ayudar a corregir la situacion: http://lists.debian.org/debian-security-announce/2 008/msg00153.html [debian.org] Esta actualizacion tiene una dependencia en la del openssl. Una vez la actualizacion este aplicada las claves debiles seran rechazadas cuando sea posible (aunque no pueden ser detectadas en todos los casos). Si usas esas claves para la autentificacion de usuario, dejaran de funcionar y necesitan se reemplazadas.
    Las claves del Openssh pueden ser automaticamente regeneradas cuando la actualizacion se aplique. La actualizacion te preguntara por confirmacion antes de hacerlo.
  • 5 respuestas por debajo de tu umbral de lectura actual.