Debian系列でのOpenSSLのセキュリティホール話、パッチ当てればいいのかな~?って思ってたら
なんと2006年から今までのあいだに作られたSSLの鍵が全て脆弱らしい。
3万通りしか鍵が作られない、つまりデビアンユーザ数より鍵の数のほうが少ないという事態。
すでにその3万通りは公開されていて、いやんな状況になってるそうで。。。
authorized_keysにデビアンユーザが鍵を登録するだけで、速攻セキュリティホール。
あなこわし。
dowkb.plってツールでチェックできるので、自分のホストにデビアンな香具師がいないかチェックしませう。
もちろん。SSHのホスト鍵や、httpsの証明書関連、OpenVPNなんかも影響うけまくり。
すっすげー。
ちなみに、鍵が当たる確率は3万より遙かに高いです。
PID+乱数だったのが、PIDをキーにして乱数を作るようになってしまっていたらしいので、
当然PIDが若い方が使われる可能性が高いです。
その確率分布を考慮にいれてアタックかけると。。。ガクブル
って聞いた話で確認してなけどね<PIDをキー
0 件のコメント:
コメントを投稿