https://www.opennet.ru/openforum/vsluhforumID3/41800.html "Debian generated SSH-Keys working exploit (http://www.securityfocus.com/archive/1/492112)" - эксплоит для перебора 65 тыс. возможных вариантов ключей (только pid для энтропии) генерированных при помощи проблемного Debian пакета с OpenSSL. Полный перебор осуществляется менее, чем за 20 минут. Рекомендуется проверить SSH ключи на локальной машине.<br><br>URL: http://www.securityfocus.com/archive/1/492112<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=15940<br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#16 Mon, 19 May 2008 20:05:16 GMT &gt;покажи патч <br><br>http://svn.debian.org/viewsvn/pkg-openssl/openssl/trunk/rand/md_rand.c?rev=141&view=diff&r1=141&r2=140&p1=openssl/trunk/rand/md_rand.c&p2=/openssl/trunk/rand/md_rand.c<br><br><br>А что же произошло?<br><br>13 мая 2008 года проект Debian известил своих пользователей о вышедшем исправлении, затрагивающем генерацию случайных чисел в библиотеке OpenSSL, поставляемой в составе операционной системы Debian Linux. Ошибка состояла в том, что следующие строки были удалены из файла md_rand.c:<br><br>MD_Update(&m,buf,j);<br>[ .. ]<br>MD_Update(&m,buf,j); /* purify complains */<br><br>Эти строки были удалены из-за того, что утилиты Valgrind и Purify сообщали об использовании неинициализированных данных в любом коде, который использовал OpenSSL (пример подобного сообщения). Удаление этих строк привело к тому, что в качестве случайного числа стал использоваться только идентификатор текущего процесса (на Linux системах, максимальный идентификатор процесса равен 32768).<br>И какие последствия?<br><br>Все SSL и SSH ключи, сгенерированные https://www.opennet.ru/openforum/vsluhforumID3/41800.html#15 Mon, 19 May 2008 19:21:24 GMT &gt; Patch видели из-за которого SSL плохие ключи генерила? <br><br>У меня первое впечатление, что это было преднамеренно и со знанием дела.<br><br>первое впечатление - обманчиво :) тогда получается что в этом замешены вместе и разработчики дебиан и разработчики openssl... вероятность конечно есть, но имхо скорее всего банальный "человеческий фактор", эти не подумали, те недопоняли и вот оно и вышло...<br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#14 Mon, 19 May 2008 17:33:15 GMT покажи патч<br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#13 Mon, 19 May 2008 17:11:17 GMT Patch видели из-за которого SSL плохие ключи генерила? <br>У меня первое впечатление, что это было преднамеренно и со знанием дела.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#12 Mon, 19 May 2008 15:52:20 GMT Дыры есть везде и живут по четверть века в дистрах от их рождения, вопрос только во времени когда дыра вылезет и на сколько чесно о ней признаются.<br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#11 Mon, 19 May 2008 15:26:20 GMT Ага, спасибо.<br>Кстати, я сначала нашел, потом ответ прочитал. ;)<br>Вообще, интересно посмотреть на такую сторону проблемы, как сертификаты. Они же тоже потрадать могут. А много-много выдавателей навыдавали неправильных ключей еще больше. :)<br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#10 Mon, 19 May 2008 15:17:56 GMT &gt;В статье упоминается следующая ссылка <br>&gt;http://www.deadbeef.de/rsa.2048.tar.bzip2 <br>&gt;403, откуда взять? Хочу проверить, чем мой ключ был создан. <br><br>http://sugar.metasploit.com/debian_ssh_dsa_1024_x86.tar.bz2<br>http://sugar.metasploit.com/debian_ssh_rsa_2048_x86.tar.bz2<br>http://sugar.metasploit.com/debian_ssh_rsa_1023_x86.tar.bz2<br>http://sugar.metasploit.com/debian_ssh_rsa_1024_x86.tar.bz2<br>http://sugar.metasploit.com/debian_ssh_rsa_2047_x86.tar.bz2<br>http://sugar.metasploit.com/debian_ssh_rsa_4096_x86.tar.bz2<br>http://sugar.metasploit.com/debian_ssh_rsa_8192_1_4100_x86.tar.bz2<br><br><br><br>Да и вообще, вся эта страничка интересная =-)<br>http://metasploit.com/users/hdm/tools/debian-openssl <br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#9 Mon, 19 May 2008 14:58:29 GMT В статье упоминается следующая ссылка<br>http://www.deadbeef.de/rsa.2048.tar.bzip2<br>403, откуда взять? Хочу проверить, чем мой ключ был создан.<br> https://www.opennet.ru/openforum/vsluhforumID3/41800.html#8 Mon, 19 May 2008 10:47:14 GMT &gt;Да уж, Debian взбодрил не одну тысячу разработчиков, которые теперь будут ещё <br>&gt;долго смеяться над ним, печально...:( <br><br>да уж -- это не RedHat какой-нибудь -- не прячет дыры и ошибки (вспоминаем недавний vmsplice)<br><br>p.s.<br>остальные unix'ы ничем не лучше -- политика умалчивания повсюду (а то клиенты поразбегутся)<br>