Doncs sí, la xarxa en va plena. Sembla que amb la intenció de facilitar la depuració dels programes que utilitzen OpenSSL, algú va eliminar una línia de codi de més en el codi OpenSSL. Resultat? Totes les claus criptogràfiques generades en els darrers dos anys usant sistemes Debian i derivats estan compromeses.
El problema és que l'espai d'aletorietat a l'hora de generar les claus és tant petit (32768 per cada tipus) que esbrinar la clau privada a partir de la pública es pot fer en menys d'una hora amb qualsevol ordinador. Aquest problema afecta a tots els usuaris que utilitzen autenticació de clau pública per a SSH així com les empreses que generen certificats SSL per a llocs web entre d'altres.
En fi, ens espera una llarga setmana de cercar, corregir i regenerar claus i certificats. A veure quan triga a sortir una notícia sobre alguna gran empresa compromesa...
Alguns links interessants:
Solucions per diverses aplicacions: http://wiki.debian.org/SSLkeys
Avís del SANS: http://isc.sans.org/diary.html?storyid=4420
Llistat de claus i eines: http://metasploit.com/users/hdm/tools/debian-openssl/
Cap comentari:
Publica un comentari a l'entrada