Gå till innehåll

Sårbarhet i OpenSSL, dags att byta nycklar och certifikat

brainslicer

Av brainslicer
i Datorsäkerhet

 Share

Recommended Posts

brainslicer Advanced Member

brainslicer

Postad
Postad

Dags att byta nycklar och certifikat

 

http://www.sitic.se/publikationer/namnvart/dags-att-byta-nycklar-och-certifikat

  Citat
Som bekant släppte Debian igår en rättning till en sårbarhet i OpenSSL. Buggen, som introducerades först 2006-09-17, lämnade slumpgeneratorn (PRNG) i OpenSSL allvarligt begränsad. På grund av detta är nycklar och certifikat som genererats med en sårbar OpenSSL förutsägbara.

 

Nu finns dessutom för-genererade ssh-nycklar (1024-bitars DSA, 2048-bitars RSA och 4096-bitars RSA) publikt tillgängliga.

 

Så, har ni inte bytt nycklar och certifikat än är det hög tid att göra det nu.

 

Läs mer:

http://wiki.debian.org/SSLkeys

http://www.debian.org/security/2008/dsa-1571

http://www.sitic.se/sarbarheter/sr/sr08-159-debian-openssl-sarbart

2008-05-15 12:54

Debian OpenSSL Predictable Random Number Generator and Update openssl.pngblank.gif

crit_4.gif - Highly critical - From remote

Issued 13 May, 2008. Updated 5 days ago.

  Citat
Debian has issued an update for OpenSSL. This fixes some vulnerabilities, which can be exploited by malicious people to cause a DoS (Denial of Service) and potentially compromise a vulnerable system, and a security issue, which can lead to weak cryptographic key material.

 

 

 

edit:

http://www.sitic.se/publikationer/namnvart/openssl-film

  Citat
OpenSSL-film

 

 

Högerklicka här för att ladda ner filmen i Quicktime-format(MP4) eller här för Windowsmedia-format(WMV)

 

Nu har det gått en tid sedan OpenSSL-sårbarheten i Debian uppmärksammades. Ni har såklart patchat alla era system och skaffat nya nycklar/certifikat/lösenord? Om inte är denna film vårt sätt att påminna er att göra det.

 

Filmen visar hur sårbarheten i SR08-159 utnyttjas. Nedan följer ett kort manus på vad som händer i filmen.

 

  • 00:33 Vi börjar att kontrollera vilken version av OpenSSL vår målserver kör genom att använda kommandot 'dpkg'.

  • 00:49 Vi genererar nya nycklar på målservern för användaren root med kommandot 'ssh-keygen' och lägger sedan in den publika nyckeln i filen 'authorized_keys'.

  • 01:15 För att skynda på 'brute-force'-attacken kontrollerar vi vilken 'pid' som användes som seed när nyckeln genererades. Vi bestämmer oss för att börja scanna från nyckeln med pid 4000.

  • 03:17 Nu påbörjas attacken med programmet 'keyscan.pl' från vår hackbox mot målservern.

  • 03:40 Rätt nyckel har hittats och vi har fått ett root-skal på servern.

2008-06-03 17:06

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå till ämneslista
×
×
  • Skapa nytt...