Canais
| Vulnerabilidade identificada no OpenSSL em Debian |
 |
 |
- Categoria: Alertas
- quinta, 15 maio 2008 11:52
| Sistemas Operativos Implicados: | Linux |
| Aplicações Implicadas: | SSL/TSL |
Foi identificada uma vulnerabilidade específica ao Sistema Operativo Debian (que não afecta outros sistemas operativos não baseados em Debian - pelo menos directamente) relacionada com o OpenSSL. Deste modo, a Debian disponibilizou uma actualização para a aplicação afectada. Esta actualização vem corrigir algumas vulnerabilidades que podem ser exploradas por pessoas mal intencionadas criando problemas de segurança que podem levar a compromissos de chaves e material criptográfico (informação codificada).
I.
Descrição
O problema de segurança identificado é causado pela previsibilidade dos números aleatórios gerados pelo OpenSSL no Debian. Isto pode resultar na geração de material criptográfico “fraco”, por exemplo chaves de SSH, chaves de OpenSSL, chaves de DNSSEC, chaves utilizadas em certificados X.509 e chaves de sessão utilizadas em ligações SSL/TLS.
Este falha de segurança foi reportada em versões acima da 0.9.8c-1 (inclusive) das distribuições OpenSSL do Debian e afecta todo o material de chaves geradas com distribuições afectadas.
II. SoluçãoAplicar distribuições actualizadas e recriar todo o material de chaves criptográficas.
III.
Referências
http://secunia.com/advisories/30220/
Debian:
http://lists.debian.org/debian-security-announce/2008/msg00152.html
Missão
O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.
Contactos
Av. do Brasil 101
1700-066 Lisboa
Portugal
Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)
Fax: +351 218472167
email:
pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7
Filiação
