О недавней уязвимости в Debian-based дистрибутивах

0

0

Уже публикуют примеры червей, использующих сломанный алгоритм.
http://taint.org/2008/05/16/165301a.html

Источник http://www.opennet.ru/opennews/art.shtml?num=15913

Ссылка

←	[опрос][вещества]Вы слыхали, как поют дрозды?

Вопросы юристам про отказ от гарантий и качество выполнения услуг (договор на установку и настройку Linux)

→

> Уже публикуют примеры червей

Кто до сих пор не обновился - ССЗБ!

anonymous
(17.05.08 13:27:52 MSD)

Ответ на: комментарий от anonymous 17.05.08 13:27:52 MSD

обновления тут особо не помогут: надо перегенерить ключи, а это хлопотно :/

Pi ★★★★★
(17.05.08 13:41:19 MSD)

Ответ на: комментарий от Pi 17.05.08 13:41:19 MSD

> обновления тут особо не помогут: надо перегенерить ключи, а это хлопотно :/

Сразу видно, что ты не пользователь Дебиана. Обновления стабильной ветки включают в себя поиск и перегенерацию уязвимых ключей ;)

anonymous
(17.05.08 13:52:46 MSD)

Ответ на: комментарий от anonymous 17.05.08 13:52:46 MSD

Ну для этого надо сделать dist-upgrade... Или постоянно смотреть на неустановленные обновления. Они кстати еще и blacklist включили. Хотя проблема, имхо, не такая уж серьезная.

ЗЫ. ждем бздунов с соплями и криками :)

~~k0l0b0k~~ ★★
(17.05.08 14:02:39 MSD)

Ответ на: комментарий от anonymous 17.05.08 13:52:46 MSD

да, а оно может все юзерские ключи перегенерирует и через libastral разместит по всем нужным хостам?

Pi ★★★★★
(17.05.08 14:26:28 MSD)

Ссылка

Ответ на: комментарий от k0l0b0k 17.05.08 14:02:39 MSD

>Хотя проблема, имхо, не такая уж серьезная.

т.е. то, что дебианские машины генерят не больше 32к ключей - не серьезно?

Pi ★★★★★
(17.05.08 14:28:50 MSD)

Случай неприятный весьма.

Zubok ★★★★★
(17.05.08 14:29:55 MSD)

Ссылка

Ответ на: комментарий от Pi 17.05.08 14:28:50 MSD

> т.е. то, что дебианские машины генерят не больше 32к ключей - не серьезно?

и на их перебор идет ~11 минут..

Bod ★★★★
(17.05.08 14:40:49 MSD) автор топика

Ссылка

Debian - сасьод! Gentoo - наше всё!

anonymous
(17.05.08 14:49:57 MSD)

Ссылка

Ответ на: комментарий от Pi 17.05.08 14:28:50 MSD

неприятно конечно, но наколько я понимаю, те кто используют passphrase не подвержены этой проблеме?

~~k0l0b0k~~ ★★
(17.05.08 15:06:42 MSD)

Ответ на: комментарий от k0l0b0k 17.05.08 15:06:42 MSD

а сама сессия у тебя на святом духе шифруется что ли?

anonymous
(17.05.08 15:11:45 MSD)

Ответ на: комментарий от k0l0b0k 17.05.08 15:06:42 MSD

да, пассфрейзы вселяют вселенское спокойствие

Pi ★★★★★
(17.05.08 15:12:33 MSD)

Ответ на: комментарий от k0l0b0k 17.05.08 15:06:42 MSD

И вообще - перенес ssh на другой порт - полгода - ни одного брут-бота :) (тьфу-тьфу-тьфу)

~~k0l0b0k~~ ★★
(17.05.08 15:15:31 MSD)

Ссылка

Ответ на: комментарий от Pi 17.05.08 15:12:33 MSD

1) осознаем, что ключи аутентификации сервера перед клиентом также уязвимы
2) записываем чужой ssh-сеанс
3) перебираем 65536 ключей, восстанавливаем сеансовый ключ, пока в плейнтексте не появятся в достаточном количестве его отличительные признаки (типа приглашений шелла)
4) ...
5) профит

anonymous
(17.05.08 15:16:33 MSD)

Ссылка

Ответ на: комментарий от Pi 17.05.08 15:12:33 MSD

>пассфрейзы вселяют вселенское спокойствие

Это сарказм или правда?

~~manntes~~ ★★
(17.05.08 15:19:34 MSD)

Ответ на: комментарий от anonymous 17.05.08 15:11:45 MSD

там все на блоуфише, десе и т.д. вертится. PKI там только для метаданных

Pi ★★★★★
(17.05.08 15:20:04 MSD)

Ответ на: комментарий от manntes 17.05.08 15:19:34 MSD

конечно сарказм

Pi ★★★★★
(17.05.08 15:25:05 MSD)

Ответ на: комментарий от Pi 17.05.08 15:20:04 MSD

бегом курить, как ssh-соединение устанавливается, и для чего нужен ~/.ssh/known_hosts

anonymous
(17.05.08 15:26:03 MSD)

Ссылка

Ответ на: комментарий от Pi 17.05.08 15:25:05 MSD

passphrase напрямую участвует в генерации ключей. Поэтому ключи сгенерированные с passphrase!="" не будут входить в представленный Мюллером список. Вселенского спокойствия это не обеспечит, но мое точно. Хотя ключики я все-же сменил :)

~~k0l0b0k~~ ★★
(17.05.08 15:47:26 MSD)

Ответ на: комментарий от k0l0b0k 17.05.08 15:47:26 MSD

ну вот и ч.т.д. :)

Pi ★★★★★
(17.05.08 15:51:55 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[опрос][вещества]Вы слыхали, как поют дрозды?

Talks

Вопросы юристам про отказ от гарантий и качество выполнения услуг (договор на установку и настройку Linux)

→

Похожие темы