El desarrollador Luciano Bello ha descubierto una vulnerabilidad en el generador de números aleatorios usado por OpenSSL en Debian y otras distribuciones basadas en ella como Ubuntu.
Debido a esto, algunas claves de encriptación usadas en OpenSSH, OpenVPN o certificados SSL podrían ser mucha más comunes de lo que deberían ser y alguien podría averiguarlas mediante un ataque de fuerza bruta. De poco sirve blindar OpenSSH con bugs así…
Al margen del debate surgido acerca de si el fallo está o no solucionado, nos centraremos en la solución más inmediata para OpenSSH que pasa por averiguar si nuestras claves actuales están comprometidos y como regenerarlas en ese caso.
Las versiones de Debian afectadas por el fallo son etch, lenny y sid, en Ubuntu lo están la 7.04, 7.10 y 8.04, así que tenéis alguna de ellas instalada, actualizad como primera medida para disponer de la versión corregida de OpenSSL:
$ sudo aptitude update && sudo aptitude upgrade
Podemos averiguar si alguna de las claves de nuestro sistema está comprometida con una nueva herramienta incluida en la actualización:
$ sudo ssh-vulnkey -a
Si alguna de ellas figura como «COMPROMISED» procederemos a regenerarlas para nuestro usuario:
$ ssh-keygen
Y, en caso de necesitarlo, para el servidor OpenSSH:
$ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
$ sudo dpkg-reconfigure -plow openssh-server
Con esto debería valer por el momento. Si os va el tema, podéis ver como en Slashdot se pone verde a algunos desarrolladores 😈