Openssl security-bug door Ubuntu en Debian gemeld, BIT zoekt naar gevoelige machines in het netwerk

Openssl security-bug door Ubuntu en Debian gemeld, BIT zoekt naar gevoelige machines in het netwerk

15-05-2008 12:02:55

In de afgelopen dagen zijn er een aantal berichten gekomen van Debian en Ubuntu dat er in 2006 een beslissing is genomen die niet zo handig blijkt te zijn.

Het blijkt dat het genereren van keys ten behoeve van de encryptie helemaal niet zo random is als het zou moeten zijn. Hierdoor zou het erg eenvoudig zijn om keys na te maken.
De keys worden voor een aantal dingen gebruikt:

  • Het (uniek) identificeren van een machine
  • Het identificeren van een persoon, om in te loggen op een machine met SSH
  • Het maken van certificaten voor SSL-websites

Het is reeds bekend welke combinaties makkelijk na te bootsen zijn en het is dus belangrijk om gevoelige keys opnieuw te maken. BIT is bezig om het complete netwerk te scannen, op zoek naar gevoelige machines. Voor zover mogelijk zullen we de eigenaren hiervan op de hoogte stellen, zodat men daarop actie kan ondernemen. Klanten met een onderhoudscontract op hun machine zullen een bericht ontvangen dat we de machines vandaag zullen upgraden en dat er dus mogelijk nieuwe keys zichtbaar kunnen zijn.

Keys die gemaakt zijn op de volgende besturingssystemen zijn mogelijk gevoelig:

  • Debian Etch
  • Ubuntu Feisty
  • Ubuntu Gutsy
  • Ubuntu Hardy
  • Ubuntu Ibex

Ubuntu zal bij het upgraden zelf nieuwe keys aanmaken als het in de gaten heeft dat de keys gevoelig zijn. Tevens is er een script aanwezig om te bepalen of keys gevoelig zijn ssh-vulnkey. Er is ook een perlscript beschikbaar om te bepalen of machines en/of keys gevoelig zijn.

UPDATE, 19 mei
Inmiddels heeft GOVCERT een factsheet online gezet over deze bug(s).