Grave vulnerabilidad en los paquetes OpenSSL de Debian

El desarrollador Luciano Bello ha descubierto una vulnerabilidad en el generador de números aleatorios usado por OpenSSL en Debian y otras distribuciones basadas en ella como Ubuntu.

Debido a esto, algunas claves de encriptación usadas en OpenSSH, OpenVPN o certificados SSL podrían ser mucha más comunes de lo que deberían ser y alguien podría averiguarlas mediante un ataque de fuerza bruta. De poco sirve blindar OpenSSH con bugs así…

Al margen del debate surgido acerca de si el fallo está o no solucionado, nos centraremos en la solución más inmediata para OpenSSH que pasa por averiguar si nuestras claves actuales están comprometidos y como regenerarlas en ese caso.

Las versiones de Debian afectadas por el fallo son etch, lenny y sid, en Ubuntu lo están la 7.04, 7.10 y 8.04, así que tenéis alguna de ellas instalada, actualizad como primera medida para disponer de la versión corregida de OpenSSL:

$ sudo aptitude update && sudo aptitude upgrade

Podemos averiguar si alguna de las claves de nuestro sistema está comprometida con una nueva herramienta incluida en la actualización:

$ sudo ssh-vulnkey -a

Si alguna de ellas figura como “COMPROMISED” procederemos a regenerarlas para nuestro usuario:

$ ssh-keygen

Y, en caso de necesitarlo, para el servidor OpenSSH:

$ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
$ sudo dpkg-reconfigure -plow openssh-server

Con esto debería valer por el momento. Si os va el tema, podéis ver como en Slashdot se pone verde a algunos desarrolladores 😈

Más información: DebianUbuntu

Tweet about this on TwitterShare on FacebookShare on Google+Email this to someone

4 comentarios

  • Casi nada con la vulnerabilidad

  • Cuando hago sudo ssh-vulnkey -a me sale esto:

    “Unknown (no blacklist information): ”

    He omitido los claves por seguridad.
    Eso significa que tengo algun problema de seguridad?

  • Eso significa que no tiene información sobre ese tipo de key, así que si usas Ubuntu o Debian lo más seguro es regenerarlas para evitar riesgos.

  • Gracias. Acabo de configurarlo. Sigue asi

Escribe un comentario

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>