Słabe klucze w Debianie i Ubuntu
Odkryto, że generator pseudolosowy z pakietu openssl w Debianie orazUbuntu od dwóch lat zachowuje się w sposób przewidywalny. Nieszczęśliwą poprawkę do debianowego pakietuwprowadził w 2006 roku Kurt Roeckx znacznie zmniejszając entropięgeneratora. Z tego powodu klucze generowane na Debianie z pakietemopenssl od wersji 0.9.8c-1 są słabe i należy je jak najszybciejwygenerować ponownie używając poprawionej wersji pakietu. Z koleiklucze DSA należy uznać za skompromitowane. Problem dotyczy kluczyużywanych przez SSH, OpenVPN, DNSSEC oraz stosowanych docertyfikatów X.509 używanych w połączeniach SSL/TLS. Aktualizacjipakietu openssl powinni dokonać nie tylko użytkownicy Debiana aletakże Ubuntu oraz innych dystrybucji na nim bazujących. Ben Laurie skrytykował poczynania Debiana, któryspatchował OpenSSL na własną rękę. Według Laurie twórcy dystrybucjinie powinni niczego patchować sami, tylko zgłosić błąd twórcomdanego programu i poczekać na poprawioną wersję. Zwraca też uwagę,że nieszczęsny Kurt Roeckx nie zrozumiał tak naprawdę na czympolegał błąd, który próbował dwa lata temu załatać. Ben Laurieoczekuje, że twórcy dystrybucji przestaną chcieć na siłę dodawaćcoś od siebie do oprogramowania, które włączają do swoichdystrybucji i zostawią patchowanie autorom aplikacji. Na rozluźnienie komentarz w postaci stripu z xkcd oraz Dilberta.
13.05.2008 20:06