Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

Regístrate Identifícate

Grave vulnerabilidad en el Openssh de Debian

Hola, el equipo de seguridad de Debian emitió el día 13 un aviso de seguridad muy grave que afecta al algoritmo de generación de números pseudoaleatorios (PRNG) del programa Openssl de Debian.

A consecuencia de este grave error también se ve afectado el paquete de openssh de Debian.

El problema radica en que el algoritmo de generación de números aleatorios es predecible, debido a que el número de posibles números esta limitado a 2^18 posibilidades, cuando debería ser 2^1.024

¿ Que implica esto ? Que desde el 2006 (porque el error es de 2006!) todas las claves ssh generadas con openssh (usa el algoritmo de openssl) no son de fiar.

Para que podáis ver claramente la gravedad del problema, cito textualmente parte del texto de Hispasec.

A efectos prácticos, se podría deducir la clave privada a partir de la pública de los usuarios, con lo que la criptografía asimétrica, usada en SSL y SSH por ejemplo, deja de ser fiable para la autenticación y para la confidencialidad. Cualquier clave pública o firma, generada por esa versión de OpenSSL en Debian en los últimos dos años... pasa a ser sospechosa y vulnerable.

El problema no solo afecta a Debian, sino a todas las distribuciones que se basan en ella. Si os recuerdo que Ubuntu se basa en Debian, podéis haceros una idea de la magnitud del problema.

Y pensar que todo el problema viene de haber quitado la siguiente línea de código de Openssl porque generaba avisos en las herramientas de depuración.

 MD_Update(&m,buf,j);

Debido a esto el algoritmo de generación de números aletorios realmente no llegaba inicializarse, generando la vulnerabilidad descrita.

Está claro que antes de tocar una solo línea de código se ha de tener muy claro las posibles consecuencias de lo que se está haciendo.

Como la vulnerabilidad es fácilmente explotable ya ha salido algún exploit que la aprovecha.