Chapuza criptográfica en Debian, Ubuntu y derivados

andaluz37

En septiembre de 2006 alguien en Debian decidió suprimir una línea de código molesta en el fichero md_rand.c de OpenSSL:

MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

La decisión se tomó para suprimir los avisos sobre datos no inicializados que lanzaban herramientas de depuración de código como Valgrind y Purify.

La medida fue efectiva; desde luego desaparecieron los errores, pero -y aquí viene el problema- también desapareció la correcta siembra del generador pseudoaleatorio necesaria para producir claves de calidad, es decir, claves no predecibles. La siembra correcta requería hasta ese momento una mezcla de datos aleatorios, pero quedó de pronto reducida a la escasa aleatoriedad aportada por el identificador del proceso, que en Linux sólo puede llegar hasta el número 32.768. En consecuencia el espacio de claves se vio repentinamente reducido, de los previstos 2^1024 a 2^15, es decir, tan sólo 32.768 posibles claves...

En definitiva, esta chapuza afecta a muchos sistemas Debian y derivados como Ubuntu. Por supuesto la actualización de OpenSSL (que ya está disponible) es necesaria, pero no suficiente. En esta ocasión han de generarse además claves nuevas para todos aquellos casos en que hayamos utilizado OpenSSL, es decir, redes privadas virtuales, servidores seguros, certificados X.509, SSH, etc. En el caso de usuarios comunes, no obstante, el problema más frecuente puede radicar en tener que renovar las claves SSH utilizadas para acceder remotamente a servidores.

Moraleja: Si funciona, no lo toques. Si lo tocas, házlo bien.

Fuente : Kriptopolis.

y ahora se preguntan en kriptopolis esto:
¿Daña tu opinión sobre la seguridad del software libre el último incidente en Debian-Ubuntu?

ahora como le ponemos al nene, o como le llamamos.

Saludos!!!

kallikantzaroi

güenas

eso ya staba solusionao a las pokas horas mediante aktualisasión automatika de la paketeria, si hubieras xtendio un pokillo la vista l'huibieses visto, y e ke ya sasbemos......., no e komo otros.

y e ke la rapidez de solusionar problemillas y kon ello sus user's l'importa un bledo a kien ya sasbemos....

saluetes

andaluz37

Cita:

kallikantzaroi escribió:

güenas

eso ya staba solusionao a las pokas horas mediante aktualisasión automatika de la paketeria, si hubieras xtendio un pokillo la vista l'huibieses visto, y e ke ya sasbemos......., no e komo otros.

y e ke la rapidez de solusionar problemillas y kon ello sus user's l'importa un bledo a kien ya sasbemos....

saluetes

no,no, no:
En definitiva, esta chapuza afecta a muchos sistemas Debian y derivados como Ubuntu. Por supuesto la actualización de OpenSSL (que ya está disponible) es necesaria, pero no suficiente. En esta ocasión han de generarse además claves nuevas para todos aquellos casos en que hayamos utilizado OpenSSL, es decir, redes privadas virtuales, servidores seguros, certificados X.509, SSH, etc. En el caso de usuarios comunes, no obstante, el problema más frecuente puede radicar en tener que renovar las claves SSH utilizadas para acceder remotamente a servidores.

kallikantzaroi

güenas

Cita:

andaluz37 escribió:

no,no, no:
En definitiva, esta chapuza afecta a muchos sistemas Debian y derivados como Ubuntu. Por supuesto la actualización de OpenSSL (que ya está disponible) es necesaria, pero no suficiente. En esta ocasión han de generarse además claves nuevas para todos aquellos casos en que hayamos utilizado OpenSSL, es decir, redes privadas virtuales, servidores seguros, certificados X.509, SSH, etc. En el caso de usuarios comunes, no obstante, el problema más frecuente puede radicar en tener que renovar las claves SSH utilizadas para acceder remotamente a servidores.

supongui ke presfieres no leer lo ya linkeao y si me pongui "tokaueb's" me gustaria sasber los ke tardaron otros en solusionarlo, y por lo ke veo en unos.... y lo ke observo en otros........

saluetes

andaluz37

Cita:

kallikantzaroi escribió:

güenas

supongui ke presfieres no leer lo ya linkeao y si me pongui "tokaueb's" me gustaria sasber los ke tardaron otros en solusionarlo, y por lo ke veo en unos.... y lo ke observo en otros........

saluetes

a ver no me desvies el tema, lo linkeado que ya lo lei es esto:
Se insta a todos los usuarios del paquete que actualicen a la versión corregida correspondiente (se incluyen enlaces en el anuncio en la lista debian-security-announce) y se creen nuevas claves en sustitución de las antiguas. Dado que las claves DSA se fundamentan en un número aleatorio secreto, todas las claves de este tipo deben considerarse automáticamente comprometidas.

parece que resuelto, resuelto, no lo esta del todo, lo estara cuando se creen nuevas claves,
bueno y teniendo en cuenta lo que presumes de seguridad en linux, pues que quieres que te diga la cosa ya esta bastante dudosa, hasta kriptopolis duda ya

el fallo, que aunque solucionado, hay que cambiar las claves, bla,bla,bla, ha sido bastante gordo.
todo esto en el super linux infalible que vendes tanto XD!!!
¿has votado ya en la encuesta de kriptopolis?

saludos!!!

kallikantzaroi

güenas

Cita:

andaluz37 escribió:

a ver no me desvies el tema, lo linkeado que ya lo lei es esto:
Se insta a todos los usuarios del paquete que actualicen a la versión corregida correspondiente (se incluyen enlaces en el anuncio en la lista debian-security-announce) y se creen nuevas claves en sustitución de las antiguas. [u]Dado que las claves DSA se fundamentan en un número aleatorio secreto, todas las claves de este tipo deben considerarse automáticamente comprometidas.

parece que resuelto, resuelto, no lo esta del todo, lo estara cuando se creen nuevas claves,

konsideras "vulnerabilidad del sistema" k'el administraor d'un sistema sea un kazurro y no haga lo ke tié k'aser????

Cita:

andaluz37 escribió:

bueno y teniendo en cuenta lo que presumes de seguridad en linux, pues que quieres que te diga la cosa ya esta bastante dudosa, hasta kriptopolis duda ya

kual e el time k'han tardao en solusionar el asunto????, lo komparamos kon la versión de win ke kieras ????

Cita:

andaluz37 escribió:

el fallo, que aunque solucionado, hay que cambiar las claves, bla,bla,bla, ha sido bastante gordo.

# rm /etc/ssh/ssh_host_*

# dpkg-reconfigure -plow openssh-server

Cita:

andaluz37 escribió:

todo esto en el super linux infalible que vendes tanto XD!!!

ya t'animas de new a buskarme en inet un user linux ke pida ayuda por star infestao????

Cita:

andaluz37 escribió:

¿has votado ya en la encuesta de kriptopolis?

sip

saluetes

Tinertronic

todos los S.O tienen errores TODOS unos mas y otros menos pero andaluz mas que nada windows no es que falle en las vulneravilidades eso es normal que las haya lo que no es normal es que tarden un mes o mas y no las solucionen o que despues de haberlas reportado algun profecional no le han echo puto caso y siguen estando las vulneravilidades sin corregir despues de mucho tiempo

lo peor de windows no es eso es que windows tiene virus troyanos gusanos spywares adwares dialers activeX y mas bla bla bla esto y el registro de windows el cual cada vez va relentizando y haciendo tosco al windows , desfragmentaciones si instalas o desinstalas un programa y te jode el windows y mas bla bla bla bla

eso es lo que verdaderamente diferencia linux de windows y es algo que mientras no abras los ojos y sepas diferenciarlo estaras siempre igual intentando tener un orgasmo encontrando un fallo en linux con tal de demostrar que tienes razon donde no la tienes

por cierto comparto la misma opinion que kalli dime de 1 user que se haya visto afectado por eso

andaluz37

Cita:

Tinertronic escribió:

todos los S.O tienen errores TODOS unos mas y otros menos pero andaluz mas que nada windows no es que falle en las vulneravilidades eso es normal que las haya lo que no es normal es que tarden un mes o mas y no las solucionen o que despues de haberlas reportado algun profecional no le han echo puto caso y siguen estando las vulneravilidades sin corregir despues de mucho tiempo

lo peor de windows no es eso es que windows tiene virus troyanos gusanos spywares adwares dialers activeX y mas bla bla bla esto y el registro de windows el cual cada vez va relentizando y haciendo tosco al windows , desfragmentaciones si instalas o desinstalas un programa y te jode el windows y mas bla bla bla bla

eso es lo que verdaderamente diferencia linux de windows y es algo que mientras no abras los ojos y sepas diferenciarlo estaras siempre igual intentando tener un orgasmo encontrando un fallo en linux con tal de demostrar que tienes razon donde no la tienes

por cierto comparto la misma opinion que kalli dime de 1 user que se haya visto afectado por eso

y a todo esto porque no te pones mandriva? es mucho mas completo que ubuntu

saludos!!!

Tinertronic

Cita:

andaluz37 escribió:

y a todo esto porque no te pones mandriva? es mucho mas completo que ubuntu

saludos!!!

hay u dicho que dice que para gustos los colores y a mi me toco el suse de un principio pero por un problema de deteccion con el modem me llevo al ubuntu el cual se a quedado aqui y me ciento tan agustito que no tengo ganas de estar saltando de uno a otro S.O este cumple con todos los requisitos que le exijo

por cierto mandriva le tengo virtualizado y me gusta mas el ubuntu con un thema sencillete

esto es lo bueno de linux que tienes para todos los gustos

bajate de ese jodio burro y abrele los brazos a linux

Lord_Exar

Cita:

andaluz37 escribió:

y a todo esto porque no te pones mandriva? es mucho mas completo que ubuntu

Pero no tanto como Linux Mint.

Para gustos los colores, pero como empieces una "guerra" de haber cual es la distro más "completa", tu mandriva va a salir perdiendo.... por ese mismo motivo te podría preguntar ¿por qué no te pones Mint?

Saludos

16 may 2008, 09:22	#1 (permalink)
andaluz37 Ex-miembro Registrado: agosto 2006 Mensajes: 8.364	Chapuza criptográfica en Debian, Ubuntu y derivados En septiembre de 2006 alguien en Debian decidió suprimir una línea de código molesta en el fichero md_rand.c de OpenSSL: MD_Update(&m,buf,j); [ .. ] MD_Update(&m,buf,j); /* purify complains */ La decisión se tomó para suprimir los avisos sobre datos no inicializados que lanzaban herramientas de depuración de código como Valgrind y Purify. La medida fue efectiva; desde luego desaparecieron los errores, pero -y aquí viene el problema- también desapareció la correcta siembra del generador pseudoaleatorio necesaria para producir claves de calidad, es decir, claves no predecibles. La siembra correcta requería hasta ese momento una mezcla de datos aleatorios, pero quedó de pronto reducida a la escasa aleatoriedad aportada por el identificador del proceso, que en Linux sólo puede llegar hasta el número 32.768. En consecuencia el espacio de claves se vio repentinamente reducido, de los previstos 2^1024 a 2^15, es decir, tan sólo 32.768 posibles claves... En definitiva, esta chapuza afecta a muchos sistemas Debian y derivados como Ubuntu. Por supuesto la actualización de OpenSSL (que ya está disponible) es necesaria, pero no suficiente. En esta ocasión han de generarse además claves nuevas para todos aquellos casos en que hayamos utilizado OpenSSL, es decir, redes privadas virtuales, servidores seguros, certificados X.509, SSH, etc. En el caso de usuarios comunes, no obstante, el problema más frecuente puede radicar en tener que renovar las claves SSH utilizadas para acceder remotamente a servidores. Moraleja: Si funciona, no lo toques. Si lo tocas, házlo bien. Fuente : Kriptopolis. y ahora se preguntan en kriptopolis esto: ¿Daña tu opinión sobre la seguridad del software libre el último incidente en Debian-Ubuntu? ahora como le ponemos al nene, o como le llamamos. Saludos!!!

16 may 2008, 10:37	#2 (permalink)
kallikantzaroi Moderador Registrado: febrero 2005 Ubicación: pingüineando k'e gerundio Mensajes: 28.917	Re: Chapuza criptográfica en Debian, Ubuntu y derivados güenas eso ya staba solusionao a las pokas horas mediante aktualisasión automatika de la paketeria, si hubieras xtendio un pokillo la vista l'huibieses visto, y e ke ya sasbemos......., no e komo otros. y e ke la rapidez de solusionar problemillas y kon ello sus user's l'importa un bledo a kien ya sasbemos.... saluetes
	LRU # 369045 Plumes o plom?.... by Καλλικάντζαρος ////* "la marca del esclavo es hablar la lengua de su señor" Publius Cornelius Tacitus Normas FAQ'S

16 may 2008, 21:47	#7 (permalink)
Tinertronic Ex-miembro Registrado: marzo 2005 Mensajes: 8.876	Re: Chapuza criptográfica en Debian, Ubuntu y derivados todos los S.O tienen errores TODOS unos mas y otros menos pero andaluz mas que nada windows no es que falle en las vulneravilidades eso es normal que las haya lo que no es normal es que tarden un mes o mas y no las solucionen o que despues de haberlas reportado algun profecional no le han echo puto caso y siguen estando las vulneravilidades sin corregir despues de mucho tiempo lo peor de windows no es eso es que windows tiene virus troyanos gusanos spywares adwares dialers activeX y mas bla bla bla esto y el registro de windows el cual cada vez va relentizando y haciendo tosco al windows , desfragmentaciones si instalas o desinstalas un programa y te jode el windows y mas bla bla bla bla eso es lo que verdaderamente diferencia linux de windows y es algo que mientras no abras los ojos y sepas diferenciarlo estaras siempre igual intentando tener un orgasmo encontrando un fallo en linux con tal de demostrar que tienes razon donde no la tienes por cierto comparto la misma opinion que kalli dime de 1 user que se haya visto afectado por eso

Herramientas
Versión para imprimir Enviar por correo
Estilo
Modo lineal Cambiar a modo híbrido Cambiar a modo de árbol

Tema	Iniciado por	Foro	Respuestas	Último mensaje
Ubuntu versus Debian	kallikantzaroi	Configuración	19	09 mar 2008 21:02
Paso de Ubuntu a Debian	DiSh!	Configuración	10	21 dic 2007 20:22
diferencia entre distros basadas en ubuntu y basadas en debian	conan_blasi	Software para Linux	9	26 jun 2007 19:59
FON deja microsoft y adopta Ubuntu	kallikantzaroi	Software para Linux	2	05 may 2007 15:22
Debian y Ubuntu	Insane Cancer	Software para Linux	2	28 mar 2007 09:13

Chapuza criptográfica en Debian, Ubuntu y derivados

Temas similares

Acceso a todos los temas