Vlákno názorů k článku
Vážný bezpečnostní problém s OpenSSL v Debianu
od Stanley - AHA. Může to být důvod proč dnes najednou...
-
Roger (neregistrovaný)Tezko hadat, kdyz nereknete distribuci, ale klice by se jen tak samy od sebe pregenerovavat nemely {i kdyz snad v Ubuntu bylo soucasti patche testovatko slabosti klicu, takze je mozne, ze vam to hezky windowsacky pregeneroval - ale podrobneji jsem jejich ohlaseni neprohlizel).
-
alblaho (neregistrovaný)Tak tohle je krávovina.
Dneska do ubuntu přišla oprava. Vypíše to varování a informuje o novém nástroji, který umí zkontrolovat, jestli je daný klíč OK nebo ne.
Ale teda nepřihlásil jsem se do VPN, protože ten klíč byl kompromitovaný a openvpn to teď kontroluje. Řekl jsem tedy adminovi o nový klíč. Jak bych to obcházel ale, přiznám se, nevím.
Tyhle základní balíky jdou přímo z Debianu, vývojáři ubuntu nemají potřebu tam nic měnit. A jestli windowsovatí Debian, tak to bych fakt neřekl :-) -
Pletiplot (neregistrovaný)Sam ted resim upgrady SSH, SSL a spol a delam to rucne. Pokud server zjisti, ze klic je backlistovan, nabidne uzivateli regeneraci (ktera, pokud jsem si vsiml, nejde obejit), kazdopadne to nedela bez vedomi uzivatele. Ovsem zde zalezi na tom, jaky level dotazu mate nastaveny u dpkg. Pokud je tam "na nic se neptat", nedivte se, ze vam Debian/Ubuntu klice pregeneruje a ve vypisu si toho nevsimnete. A pokud server spravuje nekdo jiny a vy na nem mate jen ucet, rozhodne by bylo slusne, kdyby vam dal o zmene klice zpravu. Pokud vam ji neda, vysledek je asi jasny.
-
Pletiplot (neregistrovaný)A jeste ktomu VPN. Obejit to jde, openVPN proste jen vola ten chceckovaci nastroj a podle jeho vysledku bud povoli nebo zakaze pristup. Pokud si "hacknete" svuj system a ten checkovaci nastroj nahradite necim, co vraci true, projde to. Tohle ale doporucuju jen jako nouzovku, pokud je nutne stary klic pouzit k tomu, abyste ho nahradili novym.
-
Petr (neregistrovaný)"Installing these packages on hosts with weak keys will cause the ssh server to regenerate its keys." - http://wiki.debian.org/SSLkeys#head-974d8e1e1a4fd26f5ef20635eda3f58860d9569b
Když SSH server míval zranitelný klíč, kdokoliv se mohl vydávat za něj, tedy veřejný klíč neplnil svou funkci, tedy jako by nebyl. V takovém případě když SSH klient detekuje změnu veřejného klíče, neměl by řvát a jen se zeptat jestli uživatel důvěřuje novému klíči. (Samozřejmě se nedá očekávat že tuto situaci budou rozpoznávat SSH klienti ne-debianího původu.)
