Wykryta została krytyczna dziura w oprogramowaniu OpenSSL, objawiająca się przede wszystkim w Debianie, Ubuntu i pochodnych.
Jak informuje 7thGuard:
Wersja pakietu OpenSSL z dystrybucji Debian GNU/Linux zawiera poważny błąd związany z ograniczonym zakresem losowości generowanych kluczy. Problem dotyczy pakietów openssl, openssh i openvpn w takich dystrybucjach jak Debian Etch czy Ubuntu Gutsy/Hardy. Ich użytkownicy powinni jak najszybciej zaktualizować pakiety. Ponadto, w wielu przypadkach konieczne będzie ponowne wygenerowanie kluczy ze względu na możliwość ich łatwego skompromitowania (odgadnięcia metodą brute-force).
Więcej o luce przeczytacie:
- DSA-1571 – Debian Security Advisory,
- USN-612-1 – Ubuntu Security Notice,
- Debian bug #363516 – raport z testowania Valgrinda i wprowadzenia nieszczęsnej “poprawki”,
- dowkd.pl – analizator istniejących kluczy SSL/SSH/VPN do sprawdzenia, które należy wygenerować ponownie,