El desarrollador Luciano Bello ha descubierto una vulnerabilidad en el generador de números aleatorios usado por OpenSSL en Debian y otras distribuciones basadas en ella como Ubuntu.

Debido a esto, algunas claves de encriptación usadas en OpenSSH, OpenVPN o certificados SSL podrían ser mucha más comunes de lo que deberían ser y alguien podría averiguarlas mediante un ataque de fuerza bruta. De poco sirve blindar OpenSSH con bugs así…

Al margen del debate surgido acerca de si el fallo está o no solucionado, nos centraremos en la solución más inmediata para OpenSSH que pasa por averiguar si nuestras claves actuales están comprometidos y como regenerarlas en ese caso.

Las versiones de Debian afectadas por el fallo son etch, lenny y sid, en Ubuntu lo están la 7.04, 7.10 y 8.04, así que tenéis alguna de ellas instalada, actualizad como primera medida para disponer de la versión corregida de OpenSSL:

$ sudo aptitude update && sudo aptitude upgrade

Podemos averiguar si alguna de las claves de nuestro sistema está comprometida con una nueva herramienta incluida en la actualización:

$ sudo ssh-vulnkey -a

Si alguna de ellas figura como «COMPROMISED» procederemos a regenerarlas para nuestro usuario:

$ ssh-keygen

Y, en caso de necesitarlo, para el servidor OpenSSH:

$ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*

$ sudo dpkg-reconfigure -plow openssh-server

Con esto debería valer por el momento. Si os va el tema, podéis ver como en Slashdot se pone verde a algunos desarrolladores 😈

Más información: Debian – Ubuntu