Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

Mesmo quem não usa Debian pode correr risco com o recente bug do SSL/SSH

Na semana passada o projeto Debian enviou um comunicado informando que, devido a uma modificação específica do Debian (realizada em 2006) no pacote openssl, as chaves criptográficas geradas nos sistemas afetados podem ser bem mais fracas do que deviam. (Saiba mais).

A correção para a falha de software não tardou, tanto no Debian quanto nos seus mais populares derivados, como o Ubuntu, que distribuíram o pacote ao longo destes meses todos. A correção inclui até mesmo um pacote com uma lista negra de chaves de autenticação ssh consideradas comprometidas, e um utilitário ssh-vulnkey capaz de verificar todas as chaves em locais padrão do seu sistema local em busca de problemas – se você roda Debian ou derivados e permite acesso via SSH, faça uma verificação completa o quanto antes!

E se você não roda, mesmo assim pode estar em risco, caso tenha algum dia gerado uma chave em uma máquina com o bug, e a exportado para outra máquina – mesmo que esta outra máquina não tenha o bug. Ou se recebeu em uma máquina sem bug uma chave gerada em uma máquina com bug. Vale verificar todas as máquinas em que você permite o acesso ssh via certificados, ou no mínimo todas as instâncias de arquivos ~/.ssh/authorized_keys* (e seus parentes, como ~/.ssh/id_rsa, ~/.ssh/id_dsa, ~/.ssh/identity, etc/ssh/ssh_host_dsa_key e /etc/ssh/ssh_host_rsa_key), removendo e substituindo entradas suspeitas ou inseguras.

Existem várias maneiras de tornar o acesso ssh menos vulnerável a ataques baseados em repetição de tentativas, e se você tiver dúvidas, talvez valha a pena suspender o serviço ssh em todos os locais em que ele não for absolutamente necessário, até que possa escolher o melhor curso de ação.

Para entender melhor a situação, leia também:

Saiba mais (computerworld.com.au).


• Publicado por Augusto Campos em 2008-05-19

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Qual foi exatamente o motivo do pessoal do Debian modificar o OpenSSH? Algum patch importante ou mais alguma coisa no estilo Firefox onde não queriam enviar os patches para o produto principal?

    O trecho de código que usava memória não-inicializada como fonte adicional de entropia estava gerando warnings na compilação, e o mantenedor do pacote achou melhor comentá-lo.

    Atento (usuário não registrado) em 19/05/2008 às 11:17 am

    Existe o um documento do cert.br com dicas pra ajudar a manter o serviço de SSH mais seguro em:
    http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/

    Hahahahhahaha !!

    O trecho de código que usava memória não-inicializada como fonte adicional de entropia estava gerando warnings na compilação, e o mantenedor do pacote achou melhor comentá-lo.

    **Olha um pedaço de código estranho e comenta**
    __ Squid desconsiderando ACL’s;
    __ Apache não lendo mais os domínios virtuais;
    __ Postfix deixando de lado autenticação por TLS………..

    Que gafe heim.

Este post é antigo (2008-05-19) e foi arquivado. O envio de novos comentários a este post já expirou.