Fallo de seguridad en OpenSSH

Un fallo de seguridad en OpenSSH permitiría leer datos de ficheros que supuestamente están encriptados por lo que expertos del Information Security Group de la Universidad de Londres recomiendan que se actualice a la versión 5.2 de OpenSSH que supuestamente incluye medidas para atajar el problema. Sin embargo, y según se puede leer en la noticia, la posibilidad de vernos afectados por el problema es de 1 entre 262.144, lo que no quita para que nos mantengamos alerta y recordar que hace un año se producjo un fallo de seguridad en OpenSSL que afectó a todos los sistemas basados en Debian.

OpenSSL blacklist

Al hacer una actualización de los repositorios de Kubuntu 8.04 me he encontrado con una actualización de openssl-blacklist, un paquete que incluye la lista de claves RSA OpenSSL incluidas en listas negras y que se utiliza junto con el programa openssl-vulnkey para examinar claves sospechosas.

Noticia relacionada: Vulnerabilidad OpenSSL en Debian y derivados

Vulnerabilidad OpenSSL en Debian y derivados

Un fallo de seguridad en el generador de números aleatorios utilizado por OpenSSL en sistemas basados en Debian (incluye todas las versiones de Ubuntu) puede hacer que las claves de encriptación sean más fáciles de averiguar mediante un ataque por fuerza bruta.

La vulnerabilidad afecta al uso de claves de encriptación en OpenSSH, OpenVPN y los certificados SSL.

Desde Ubuntu ya han lanzado la actualización de seguridad necesaria que te puedes descargar con tu gestor de paquetes habitual.

Para más información lee el anuncio de Ubuntu.

Leído en Slashdot: Debian Bug Leaves Private SSL/SSH Keys Guessable

Gracias a kbglob me entero de que hay un paquete que se instala con la actualización y que te servirá para saber si estás afectado.

Desde una terminal escribe ssh-vulnkey -a

Proudly powered by WordPress
Theme: Esquire by Matthew Buchanan.