Ubuntu / Debian je postižen kritickou chybou

MyEgo.cz

home foto blogy mywindows.cz kontakt

Ubuntu / Debian je postižen kritickou chybou

Linux 26.05.08

Pokud se připojujete na Linuxový webový server pomocí prohlížeče, komunikace je zabezpečená pomocí SSL. Stejně tak se Linuxové servery ovládají vzdáleně přes SSH. Všechny tyto operace a bezpečnost závisí na jedné jediné knihovně - OpenSSL.

V polovině května vešlo ve známost, že v této knihovně je mimořádně kritická chyba, která postihuje v podstatě veškeré opensource systémy. Namísto generování klíčů se silou 2128, tedy nějakých 3.4 e38, se generují na opensource systémech po více než dva roky klíče se silou 215, tedy o směšné "síle" pouhých 32 768 kombinací.

Je jasné, že dnešní počítače nestačí na útok na 3.4 e38 kombinací hrubou silou, ale 32 768 kombinací zvládne v reálném čase deset let staré Pentium 75Mhz či lepší kalkulačka.

Dopad na celý internet je nedozírný, de-facto jakákoliv vaše "zabezpečená" transakce během posledních 2 let mohla být odposlechnuta (a stále může být!), útočníci mohou mít vaše hesla do emailů hostovaných na Linuxu, bankovních systémů, čísla vašich kreditních karet, prostě cokoliv. Na Linuxu je HTTPS potencionálně stejně nebezpečné jako HTTP.

A zdaleka se nejedná jen o fixnutí chybného kódu, je potřeba vyměnit naprosto veškeré klíče, které tento chybný kód vygeneroval. Fix zabrání jen zneužití této chyby u nového generování klíčů, ale nemůže nijak opravit používané (nebezpečné) klíče vygenerované za poslední dva roky!!

Podle DailyTech jsou postižená veškeré opensource distra, podle některých jiných komentářů převážně "deb-based", tedy Ubuntu, Kubuntu, Debian a pár dalších (což bude ale tak polovina Linuxových serverů). Bojíte se? Já ano.

Toto je extrémně kritická chyba nedozírných následků... Nikdo ani netuší kolik systémů může být kompromitováno.


Komentáře

  1. 1 Přemysl Vavroušek 26.05.08, 12:05:49
    FB

    Něco jsem už o tomto četl, ale chyba by se neměla týkat přímo OpenSSL knihovny, ale její opatchované verze v Debianu a na něm založených distribucích. Je ale fakt, že těch bude asi celkem dost. Je celkem s podivem, že si takové chyby dosud nikdo nevšiml, když byla v kódu tak dlouho. Ale zkrátka se asi open komunita soustředila na něco jiného - třeba na to, jak si rozchodit pod tučňákem ATI :).

  2. 2 O. M. 26.05.08, 01:05:23
    FB

    Takové malé upřesnění, kterých přesně verzí Debianu se to týká:

    http://wiki.debian.org/SSLkeys#head-d841ac769390d013577ce3fd2be24b8cf5a74cfb...

    Plus distribuce, které z těchto verzí Debianu vyšly ...

  3. 3 František Vacek 26.05.08, 03:05:08
    FB

    Hlavnou otázkou je, koľko ľudí o tejto chybe vedelo než sa to prelomilo "verejne". Pri troške paranoje nie je ťažké si predstaviť, že patch s chybou mohol byť do debianovskej verzie OpenSSL zanesený úmyselne.

    Inak čo sa týka opráv, tak pri aktualizácii samotnej OpenSSL knižnice sa na *buntu distribúciách zároveň hneď vygenerujú všetky kľúče nové a tiež sa nainštaluje aktualizácia openssl-blacklist ktorý slúži na detekciu slabých certifikátov.

  4. 4 nula 26.05.08, 05:05:47
    FB

    Ano, je to velmi nepříjemná chyba ale rozhodně bych netvrdil že "extrémně kritická chyba nedozírných následků" ... jakýkoliv vetší (a tudíž adminem udržovaný systém) prostě v době objevení chyby + řádově hodiny byl opatchován a byly přegenerovány klíče (maximálně mohly vzniknout nepříjemnosti jako znova rozdistribuovat klíče mezi lidi a pod, ale to už není bezpečnostní problém) a pokud přece jen náhodou ne, správně nastavený systém by měl např. po 3 špatných autorizacích klíčem zamknou účet apod takže nehrozí stav, kdy útočník prostě vyzkouší jeden ze šě tisíc klíčů během pár sekund a přihlásí se ...

    ano, pár malých neudržovaných serverů na to jistě dojede, globálně bych to na tragédii neviděl ... po uznámení chyby jsem např u nás měl všech 12 serverů do hodiny opravené a fixlé (akorát dodnes chodí lidi přoč se nemůžou přihlásit, mail o oznámení že byl vygenerován nový klíč jaksi přehlédli:-)

  5. 5 Michal Tuláček 26.05.08, 10:05:19
    FB

    [1] Tak ono je více druhů programátorských chyb.. podle popisu, zde nebyla chyba v kódu (např. že by někde něco přeteklo a ono to pak dělalo psí kusy), tady byla chyba v předpokladu, logická chyba. A takové se hledají dost těžko, to nestačí projet kód očima, je nutné důkladně se zamyslet nad tím, jaké jsou možné vstupy, jaké možné výstupy a co to s nima udělá. Je tomu prostě nutno rozumnět.

    Jednoduše, prostě to jako základ náhody vzalo ID procesu, a předpokládalo, že to stačí. V kódu chyba není, při každém testu to hodí něco jiného... jen je tu ten nepříjemný detail, že těch ID je max 2^15.

    Je to něco, jako kdyby se očíslovaly národy a náhoda se dělala podle toho, kdo chodí okolo. Projde čech, začneme jedničkou, projde němec, začneme dvojkou apod... dejme tomu že nám těch zhruba 200 náhodných začátků stačí. No a pak celou metodu pohřbíme tím, že se se stánkem postavíme v Horní-Dolní na náves, tedy v 99% okolo projde čech...

  6. 6 John Doe 26.05.08, 10:05:53
    FB

    [9] 1. V zari 2006 vyvojari _debianu_ pri "oprave" cehosi vyrobili vazny bug v openssl
    2. Tento bug zustal v _debianu_ jako jejich interni patch a nedostal se zpet k vyvojarum openssl (kteri by jim asi rekli ze je problem)
    3. Ted se na to prislo
    (prevzato z root.cz)

  7. 7 Radek Hulán 26.05.08, 11:05:13
    FB

    [10] ano, Debian to "posral", a s ním další distra na něm založené (Ubuntu, DSL, Xandros, Knoppix, Linspire, atd.).

    http://www.debian.org/misc/children-distros...

    Myslím, že to je zatím nejhorší bezpečnostní chyba, co kdy nastala :(

  8. 8 Kilián Nedory 6 26.05.08, 11:05:48
    FB

    Myslím, že naprosto podobnou bezpečností chybou trpěl v jakési historické verzi Netscape Navigator - pro generování náhodného čísla používal jako základ myslím okamžitý datum a čas a to byl zřejmě o dost větší problém, protože jím sestavené spojení s https servererem bylo teoreticky možné snadno dešifrovat... No a nepamatuji si, že by to byla nějaká apokalypsa... i když banky se nerady s těmito problémy svěřují..

  9. 9 Tomáš Herceg 26.05.08, 12:05:45
    FB

    [12] No pozor, datum a čas se mění poměrně často (řekněme každou sekundu). Ale ID procesu, podle kterého se to generovalo tady, se zrovna moc náhodně nechová. Je naprosté diletantství použít PID jako seed generátoru náhodných čísel.

  10. 10 Kilián Nedory 6 26.05.08, 12:05:52
    FB

    To souhlas - ale přeci jenom, když se generuje náhodné číslo z předem známé a proti původnímu teoretickému předpokladu docela omezené množiny - tj. z timestampu, tak je to fakt dost podobné...

  11. 11 Karel Fischl 26.05.08, 01:05:08
    FB

    [6] přegenerování klíčů není nic jednoduchého - nepočítám nějaký studenský servřík. Ale představte si rozsáhla VPN.To že přegenerujete CA a následně všechny certifikáty je hezké, ale v realném provoyu je to celkem kritický problém + plus je stale možné rozšifrovat dřive odposlechnutou komunikaci (https/ssh).

    Není to nic nad čí člověk, beroucí bezpečnoust serioně, mávne rukou.

  12. 12 Petr 26.05.08, 06:05:13
    FB

    [12] V době, kdy byl Nescape v prehistorické verzi, bylo internetové bankovnictví v plenkách.