[SECURITY-L] CAIS-Alerta: Vulnerabilidade no gerador de numeros aleatorios do OpenSSL
CSIRT - UNICAMP
security em unicamp.br
Qua Maio 14 09:41:56 -03 2008
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade no gerador de numeros aleatorios do
OpenSSL
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 13 May 2008 17:51:01 -0300 (BRT)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' repassando o alerta do Debian intitulado "DSA-1571-1 openssl
- - predictable random number generator", que trata de uma vulnerabilidade
no gerador de numeros aleatorios da biblioteca OpenSSL presente em
sistemas Debian e derivados.
A biblioteca OpenSSL e' utilizada por diversas ferramentas para oferecer
servicos de criptografia de conexoes, geracao de certificados e chaves
criptograficas.
Devido a uma modificacao introduzida pelo Debian no pacote OpenSSL
original, existe uma vulnerabilidade na geracao de numeros aleatorios, o
que faz com que essas aplicacoes gerem sempre um numero limitado e pequeno
de chaves criptograficas. Com isso um atacante de posse de uma lista
dessas chaves pode realizar ataques de forca bruta contra as aplicacoes e
conseguir acesso ao conteudo criptografado.
E' importante notar que esta vulnerabilidade existe apenas no pacote
distribuido com o Debian e seus derivados, como o Ubuntu. Pacotes
vulneraveis incluem o OpenSSH, OpenVPN, certificados X.509 gerados com as
ferramentas OpenSSL, entre outros.
Esta atualizacao tambem corrige outras duas vulnerabilidades detectadas no
pacote OpenSSL, sendo que uma delas permite a um atacante executar codigo
malicioso remotamente em sistemas vulneraveis.
Sistemas afetados:
. Pacote Debian Stable do OpenSSL anteriores a 0.9.8c-4etch3
. Pacote Debian Unstable do OpenSSL anteriores a 0.9.8g-9
Correcoes disponiveis:
Recomenda-se fazer a atualizacao para as versoes disponiveis em:
(Verifique a versao correta para seu sistema)
. http://security.debian.org/pool/updates/main/o/openssl/
Alem disso, recomenda-se recompilar todas as aplicacoes que utilizam o
pacote vulneravel e gerar novamente todas as chaves e certificados gerados
com o OpenSSL superior a OpenSSL 0.9.8c-1.
Mais informacoes:
. Debian Security Advisory DSA-1571-1 - openssl -- predictable random number generator
http://www.debian.org/security/2008/dsa-1571
. Ubuntu Security Notice USN-612-1 - OpenSSL vulnerability
http://www.ubuntu.com/usn/USN-612-1
. SANS ISC Handler's Diary 2008-05-13 - OpenSSH: Predictable PRNG in debian and ubuntu Linux
http://isc.sans.org/diary.html?storyid=4414
Identificador CVE (http://cve.mitre.org): CVE-2008-0166
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76
iQCVAwUBSCn/Oukli63F4U8VAQGKZgP/dXTkVJB1hrQ4B4WMEb2g/x8oxHJdr1ni
ed1uXW9mE7MqdJsS5SXOG1H2uzRt3PEAbIaXsCYMvGyxiVJYMQTTqoYaywReVlRA
fcIUvo/JQ2UUDM3lsuSrAXrm4ICOSQPp+t0Ncs5OCpUMep4zvquohXTvHZPNek3N
h81xVdP0K0Q=
=8MRU
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L