Etiqueta: debian

  • Grave vulnerabilidad en los paquetes OpenSSL de Debian

    El desarrollador Luciano Bello ha descubierto una vulnerabilidad en el generador de números aleatorios usado por OpenSSL en Debian y otras distribuciones basadas en ella como Ubuntu.

    Debido a esto, algunas claves de encriptación usadas en OpenSSH, OpenVPN o certificados SSL podrían ser mucha más comunes de lo que deberían ser y alguien podría averiguarlas mediante un ataque de fuerza bruta. De poco sirve blindar OpenSSH con bugs así…

    Al margen del debate surgido acerca de si el fallo está o no solucionado, nos centraremos en la solución más inmediata para OpenSSH que pasa por averiguar si nuestras claves actuales están comprometidos y como regenerarlas en ese caso.

    Las versiones de Debian afectadas por el fallo son etch, lenny y sid, en Ubuntu lo están la 7.04, 7.10 y 8.04, así que tenéis alguna de ellas instalada, actualizad como primera medida para disponer de la versión corregida de OpenSSL:

    $ sudo aptitude update && sudo aptitude upgrade

    Podemos averiguar si alguna de las claves de nuestro sistema está comprometida con una nueva herramienta incluida en la actualización:

    $ sudo ssh-vulnkey -a

    Si alguna de ellas figura como «COMPROMISED» procederemos a regenerarlas para nuestro usuario:

    $ ssh-keygen

    Y, en caso de necesitarlo, para el servidor OpenSSH:

    $ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
    $ sudo dpkg-reconfigure -plow openssh-server

    Con esto debería valer por el momento. Si os va el tema, podéis ver como en Slashdot se pone verde a algunos desarrolladores 😈

    Más información: DebianUbuntu