El desarrollador Luciano Bello ha descubierto una vulnerabilidad en el generador de números aleatorios usado por OpenSSL en Debian y otras distribuciones basadas en ella como Ubuntu.
Debido a esto, algunas claves de encriptación usadas en OpenSSH, OpenVPN o certificados SSL podrían ser mucha más comunes de lo que deberían ser y alguien podría averiguarlas mediante un ataque de fuerza bruta. De poco sirve blindar OpenSSH con bugs así…
Al margen del debate surgido acerca de si el fallo está o no solucionado, nos centraremos en la solución más inmediata para OpenSSH que pasa por averiguar si nuestras claves actuales están comprometidos y como regenerarlas en ese caso.
Las versiones de Debian afectadas por el fallo son etch, lenny y sid, en Ubuntu lo están la 7.04, 7.10 y 8.04, así que tenéis alguna de ellas instalada, actualizad como primera medida para disponer de la versión corregida de OpenSSL:
$ sudo aptitude update && sudo aptitude upgrade
Podemos averiguar si alguna de las claves de nuestro sistema está comprometida con una nueva herramienta incluida en la actualización:
$ sudo ssh-vulnkey -a
Si alguna de ellas figura como “COMPROMISED” procederemos a regenerarlas para nuestro usuario:
$ ssh-keygen
Y, en caso de necesitarlo, para el servidor OpenSSH:
$ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
$ sudo dpkg-reconfigure -plow openssh-server
Con esto debería valer por el momento. Si os va el tema, podéis ver como en Slashdot se pone verde a algunos desarrolladores 
Más información: Debian - Ubuntu
Compártelo
Acabo de leer una interesante entrevista a Larry Page publicada en en la edición digital de Fortune, la podéis encontrar traducida en Cibermitanios.com.ar.
En ella el co-fundador de Google se aleja de temas puramente tecnológicos y nos habla sobre energías renovables, innovación, riesgo, liderazgo… manteniendo una postura que yo comparto en gran medida y sobre la que reflexionaré brevemente a continuación.
Por ejemplo, la dificultad para encontrar a alguien que reúna los conocimientos requeridos para llevar a cabo determinadas investigaciones (pone como ejemplo la automatización de vehículos) hace necesaria la búsqueda de personas con verdadero interés por el tema, mentes inquietas que hayan conseguido adquirir conocimientos sobre éste por su cuenta, lo que se presenta como una tarea difícil en estos tiempos en los que preferimos no arriesgarnos (otro tema tratado en la entrevista) y sólo nos preocupamos de rellenar el currículo con títulos oficiales pensando que, a la postre, es lo único que podrá sustentar nuestro futuro como empleados.
Otro de los aspectos que trata es la necesidad de adquirir cierta cultura general que nos ayude a plantearnos nuevas preguntas que luego, gracias a nuestros conocimientos científicos, podamos responder. Esto es algo que solemos olvidar, o que ni siquiera nos preocupa, dado que es mucho más fácil, seguro y rentable mejorar lo que ya está inventado antes que buscar nuevas alternativas a ello, pese a que no podemos ignorar que la tecnología que actualmente manejamos con naturalidad pudo ser una vez la disparatada idea de alguien que decidió arriesgarse y hacer las cosas de otra forma.
Bueno, tras este tocho me despido animándoos a aprender por vuestra cuenta y a perseguir los sueños y metas que, a buen seguro, todos nos hemos fijado alguna vez; recordad que, pese a fracasar en su ejecución, siempre nos quedará el camino recorrido y la satisfacción de haberlo intentado.
Fuente: Barrapunto
Compártelo
Últimos comentarios
Rss