Hlavní navigace

Vážný bezpečnostní problém s OpenSSL v Debianu

Petr Krčmář

Vývojáři Debianu často zanášejí do svých balíčků patche, které nejsou součástí hlavních vývojových větví příslušných aplikací. Nyní byla v debianím OpenSSL objevena vážná chyba, která ohrožuje bezpečnost šifrovacích klíčů. Problém je v poškozeném generátoru náhodných čísel, který nedává „dostatečně náhodná čísla“. Postižena je celá řada aplikací využívajících OpenSSL, ale patch se nedostal do hlavní větve OpenSSL. Patch byl do balíčku přidán v září 2006 a je tedy součástí všech aktuálních větví Debianu, ale i dalších systémů, které z něj vycházejí – především Ubuntu. Chyba je již opravena, ale nyní je potřeba vyměnit všechny slabé SSL klíče, které byly za tu dobu vygenerovány.

Našli jste v článku chybu?