Grave vulnerabilidad en los paquetes OpenSSL de Debian
El desarrollador Luciano Bello ha descubierto una vulnerabilidad en el generador de números aleatorios usado por OpenSSL en Debian y otras distribuciones basadas en ella como Ubuntu.
Debido a esto, algunas claves de encriptación usadas en OpenSSH, OpenVPN o certificados SSL podrían ser mucha más comunes de lo que deberían ser y alguien podría averiguarlas mediante un ataque de fuerza bruta. De poco sirve blindar OpenSSH con bugs así…
Al margen del debate surgido acerca de si el fallo está o no solucionado, nos centraremos en la solución más inmediata para OpenSSH que pasa por averiguar si nuestras claves actuales están comprometidos y como regenerarlas en ese caso.
Las versiones de Debian afectadas por el fallo son etch, lenny y sid, en Ubuntu lo están la 7.04, 7.10 y 8.04, así que tenéis alguna de ellas instalada, actualizad como primera medida para disponer de la versión corregida de OpenSSL:
$ sudo aptitude update && sudo aptitude upgrade
Podemos averiguar si alguna de las claves de nuestro sistema está comprometida con una nueva herramienta incluida en la actualización:
$ sudo ssh-vulnkey -a
Si alguna de ellas figura como “COMPROMISED” procederemos a regenerarlas para nuestro usuario:
$ ssh-keygen
Y, en caso de necesitarlo, para el servidor OpenSSH:
$ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
$ sudo dpkg-reconfigure -plow openssh-server
Con esto debería valer por el momento. Si os va el tema, podéis ver como en Slashdot se pone verde a algunos desarrolladores 😈
4 comentarios
Casi nada con la vulnerabilidad
Cuando hago sudo ssh-vulnkey -a me sale esto:
“Unknown (no blacklist information): ”
He omitido los claves por seguridad.
Eso significa que tengo algun problema de seguridad?
Eso significa que no tiene información sobre ese tipo de key, así que si usas Ubuntu o Debian lo más seguro es regenerarlas para evitar riesgos.
Gracias. Acabo de configurarlo. Sigue asi