Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Hora do upgrade: Falha criptográfica grave no Debian e derivados afeta chaves SSL – inclusive as do seu SSH

“O projeto Debian enviou um comunicado informando que, devido a uma modificação específica do Debian (realizada em 2006) no pacote openssl, as chaves criptográficas geradas nos sistemas afetados podem ser bem mais fracas do que deviam.

Segundo o comunicado, é fortemente recomendado que todas as chaves criptográficas geradas com o OpenSSL (a partir da versão 0.9.8c-1) em sistemas Debian sejam recriadas do zero, após a instalação da nova versão do pacote. Além disso, todas as chaves DSA que tenham sido usadas em sistemas Debian para assinar ou autenticar devem ser consideradas comprometidas. O projeto Debian também desativou temporariamente seus sistemas de logins via chaves criptográficas.

Sistemas derivados do Debian, como o Ubuntu, também foram afetados.”

Enviado por Gogo Yubari – referência (lwn.net).


• Publicado por Augusto Campos em 2008-05-13

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    O link de referência da notícia, que aponta para o LWN, traz nos comentários vários detalhes sobre a origem da falha, e sobre os procedimentos de correção, incluindo regerações de chaves.

    Silveira Neto (usuário não registrado) em 13/05/2008 às 11:07 pm

    Já fiz as correções por aqui.
    Off-topic, eu não consigo mais acessar minha conta nem me mandar o link para ‘perdi a senha’ aqui no Br-Linux, meu login era silveira.

    Engraçado, hoje mesmo estava lendo um blog de um desenvolvedor da Mozilla em que ele reclamava que os desenvolvedores do Debian criavam muitos patches de pouca qualidade para resolver rápido determinado problema, mas sem entender direito o funcionamento do código (agora transcrevendo o que ele disse isso fica bem parecido com o meu conceito de gambiarra hehe)

    fonte: http://dbaron.org/log/20080513-distros

    MaxRaven (usuário não registrado) em 14/05/2008 às 12:14 am

    Olha só, esses dias, acho que sabado, um cara no fórum GDH estava perguntando algo que achei bem estranho, mas com base nesta noticia fiquei na duvida se há relação.

    Diz ele que, se ele tem uma senha de root, por exemplo, 123456, mas digita 12345678 o sistema aceita e ele se loga normalmente.

    Nem dei muita atenção pq minha praia é usar mesmo, sem contar que nunca vi algo assim, nos meus sistemas se erro a senha (mesmo sendo colocando apenas mais digitos) é recusado o login, mas eu não tenho usado nada baseado no debian, então pergunto, será que tem relação?

    zer0c00l (usuário não registrado) em 14/05/2008 às 8:03 am

    ”O Linux é mais LEVE e SEGURO do que o Windows”

    Tiago (usuário não registrado) em 14/05/2008 às 8:29 am

    Não é fácil admitir existir erros em um SO, mas uma vez a equipe Debian mostra que esta preocupada com a segurança do usuário e lhe conta realmente o que esta acontecendo, se fosse um SO proprietário conhecido apenas liberaria uma atualização 15 dias após a falha detectada.

    Quanto ao comentário do MaxRaven, acho que a notícia que você leu no fórum GDH não está correta, pois a senha do login é gravada em forma de Hash MD5, ou seja, para que o usuário possa logar é feita uma comparação entre a senha digitada e o hash gravado, só é possível logar com uma senha que não foi gravada caso haja uma colisão (mesmo hash gerado para duas senhas distintas), como o MD5 usa 128bits para geração do hash é muito dificil (mas nao impossível) que haja colisões.

    André Machado (usuário não registrado) em 14/05/2008 às 8:50 am

    Se o que MaxRaven disse for confirmado, temos sérios problemas! Há algum tempo houve algo parecido com a autenticação no Yahoo!. Isso me faz lembrar que descobri algo similar: para iniciar a instalação do Slackware, é necessário digitar root como login para iniciar os trabalhos, mas eu acidentalmente descobri que o ambiente live-cd entra se você digitar qualquer coisa!

    fernando (usuário não registrado) em 14/05/2008 às 9:38 am

    Para sua maior segurança, use Windows Server!

    MaxRaven: se o sistema não usar MD5 ou SHA1 para armazenar o hash das senhas (usar DES, por exemplo) então a senha é truncada para 8 caracteres (e não 6). Até onde eu saiba nenhuma distribuição usa DES por padrão hoje em dia, embora seja possível utilizar se configurar manualmente para isso. Sei que o Slackware 3 (ou 4, sei lá, faz muuuuito tempo) foi a última distro que vi usar DES por padrão e sei que alguns Unix da mesma época ainda usam DES.

    Quanto ao comentário do MaxRaven, dependendo do tipo de criptografia que você escolhe pro login, ele limita a senha em 8 dígitos. Todos adicionais são ignorados.

    Pelo menos, a muito tempo atrás tinha a opção de usar esse tipo de senha e já presenciei esse problema num provedor que foi invadido.

    Isso não há relação nenhuma com as chaves do OpenSSL, mas é bom dar uma olhada no mecanismo que essa máquina tá usando pra login.

    Caramba gente acho que o muitos que comentaram acima não freqüentam muito as bug list…a respeito conheço um hacker que adora o Win Server 2003 hehe tem um probleminha lah que não foi corrigido ate hoje kakaka…

    João Marcus (usuário não registrado) em 14/05/2008 às 9:58 am

    @MaxRaven,

    O problema não está relacionado, não. Na verdade, pelo que eu vi, foi um patch meio estúpido que alguém fez. Basicamente, alguém removeu a geração de uma sequência aleatória para as chaves, tornando-a previsível, o que é uma falha gravíssima.
    Mas, afinal, o que estavam pensando quando fizeram isso? Quem é que pensou “Já sei, vou remover essa geração de sequência aleatória, ah, não deve fazer nenhuma diferença”?

    cmd_barbossa (usuário não registrado) em 14/05/2008 às 9:59 am

    Galera, parem de generalizar a falha! O problema não foi o Linux, e sim uma aplicação de uma distribuição específica!!
    Generalizar isso dizendo que “linux é inseguro” é muita cegueira, burrice ou má-fé!

    Danilo Cesar (usuário não registrado) em 14/05/2008 às 10:01 am

    Max: Debian a muito tempo atrás era senha do tipo DES. Quando o Debian atualizou, ele não regerou a senha dos que eram DES.

    Se a senha do cara continua com este BUG, então o cara não atualiza a senha dele a pelo menos uns 4 anos. O que é ruim, imho.

    Danilo Cesar (usuário não registrado) em 14/05/2008 às 10:02 am

    Só diga pro cara dar um passwd no usuário root dele. O problema será corrigido.

    (Como diz aquela grande empresa japonesa, “Os nossos japoneses são mais criativos que os japoneses dos outros.”)

    Os nossos BUG’s são mais criativos que os dos outros , lógico, bug nenhum é bom mas é só pra mostrar o GRANDE ABISMO que existe entre uma falha no Linux e a falha “no (s) outro (s)”

    Me fale ai alguem de vocês: Quem usa no desktop o SSH?? Um usuario tido como convencional que navega na internet, lê e-mails, usa pra postar aqui no br-linux, usa OpenOffice e outras perfumarias mais, nunca vai usar o SSH pra nada (esse usuário descrito ai sou eu ;D)

    Agora fica a pergunta para os usuario do podrecoOS: Quem nunca instalou o podreco com o queijo-suiço e o pró-virus (embutido, logico) e ao acabar a instalação entrou na web e não consegui ficar 10 minutos sem pegar um virus??

    Não venham com mentiras, esse teste eu ja fiz.

    Glossário

    podrecoOS : windows
    queijo-suíço : internet explorer
    pró-vírus : outlook express

    amg1127 (usuário não registrado) em 14/05/2008 às 11:41 am

    Deu trabalho… Mas ontem mesmo, regenerei todos os certificados SSL e chaves de SSH geradas por um servidor Ubuntu 8.10 que até então era vulnerável à falha.

    MaxRaven (usuário não registrado) em 14/05/2008 às 4:45 pm

    Só para completar a informação que disse acima aqui vai o link:
    http://www.guiadohardware.net/comunidade/bug-senha/862865/

    Agora, vendo com calma, segundo ele começou após atualizar o drive da nvidia, mas sei lá, se alguem que use debian e saiba investigar tiver tempo, pode até achar algo (ou não).

    Adorei a piada do debian stable e nao entendi pq marcaram como troll :p.

    Sempre odiei essa mania de fazer patch’s de codigos do Debian. Nao concordo com o fato de ser desprezado versões mais novas de programas para nao sair na versão estável(fazendo um vovo-sistema) e aceitar patchs que eles mesmos fazem, sendo que eles nao fazem o programa e querem se confiar mais?

    Quanto a digitar root no slackware: Isso sempre foi assim. Por um simples motivo: Se vc vai instalar o sistema, voce vai fazer isso como root no pseudo live-cd do slackware. Isso nao e uma falha de seguranca. Eu nao sei e porque ele ainda pede para digitar. :p. Devia era entrar direto….

    Gondim (usuário não registrado) em 15/05/2008 às 4:30 pm

    Pessoal, errar é humano e para quem não lembra até mesmo o OpenBSD já teve uma vulnerabilidade no ssh. Eu assino listas de segurança e sempre que vejo alguém comentar uma falha a equipe de security do Debian é uma das primeiras, senão a primeira à lançar as correções e antes mesmo de postarem nas listas o pacote já se encontra disponível para atualização. Aquela vulnerabilidade do vmsplice no kernel, foi a equipe do Debian que postou um paleativo para corrigir o problema sem mesmo precisar rebootar o sistema até que saísse o patch definitivo. Isso mostra o quanto eles são bons no que fazem. Estou satisfeito com o empenho deles e erros podem acontecer, ninguém está livre deles e se alguém ainda acha que está 100% seguro, então isso é lamentável. :)

    Eder L. Marques (usuário não registrado) em 16/05/2008 às 5:06 pm

    Pessoal, em vez de especular, vamos checar as informações.

    O patch não foi feito arbitrariamente. O desenvolvedor debian responsavel pelo pacote na época entrou em contato com os desenvolvedores do openssl, e houve uma aceitação do patch por parte de um membro da equipe de desenvolvimento.
    http://marc.info/?l=openssl-dev&m=114652287210110&w=2

    E o padrão é isso, entrar em contato com o upstream, sempre que uma alteração é necessária. Então, sem FUD. :)

    []‘s


    Eder L. Marques
    http://blog.edermarques.net/
    http://administrando.net/

Este post é antigo (2008-05-13) e foi arquivado. O envio de novos comentários a este post já expirou.