พบข้อบกพร่องใน OpenSSL สำหรับ Debian และ Ubuntu
Submitted by lew on 14 May, 2008 - 11:31.
tags:
เมื่อไม่กี่ชั่วโมงมานี้มีการค้นพบข้อบกพร่องในส่วนของการสร้างตัวเลขแบบสุ่มในแพ็กเกจ OpenSSL ทำให้การสุ่มคีย์ได้ค่าซ้ำง่ายกว่าที่ควรจะเป็น ส่งผลให้แฮกเกอร์อาจจะเดาคีย์ในเครื่องที่ใช้ OpenSSL เหล่านี้ได้
สำหรับ Ubuntu ที่ได้รับผลกระทบจากบั๊กนี้คือรุ่น 7.04, 7.10 และ 8.04 สำหรับ Debian นั้นรุ่น etch, lenny, และ sid ได้รับผลกระทบจากบั๊กนี้ ที่สำคัญกว่านั้นคือซอฟต์แวร์ที่ได้รับผลกระทบนั้น เป็นวงกว้างค่อนข้างมาก โดยส่วนที่ยืนยันว่าเกี่ยวข้องคือ
- openssh (ทั้งฝั่งผู้ใช้และเซิร์ฟเวอร์)
- OpenVPN
- DNSSEC
- ซอฟต์แวร์ที่ใช้โพรโตคอล X.509
- encfs
- Tor
- postfix
- cyrus imapd
- courier imap/pop3
- apache2 (ssl certs)
- dropbear
- cfengine
คำแนะนำในตอนนี้คือแอดมินทุกเครื่องควรอัพเกรดแพ็กเกจเหล่านี้อย่างเร่งด่วน และสร้างคีย์ขึ้นใหม่ทั้งหมดไม่ว่าจะเป็นของเครื่องเซิร์ฟเวอร์หรือของผู้ใช้เอง หรืออาจจะใช้โปรแกรม ssl-vulnkey เพื่อตรวจสอบคีย์ที่ได้รับผลกระทบจากบั๊กนี้ได้
ที่มา - Debian Mailing List, Ubuntu Mailing List
»
- lew's blog
- Login or register to post comments
ใน Debian security alert เมื่อวานนี้ ก็ระบุนะครับ ว่ามีผลตั้งแต่รุ่น 0.9.8c-1 ขึ้นมา จึงมีผลตั้งแต่ etch เป็นต้นมา ไม่มีผลกับ sarge
แก้ไขแล้วนะครับ
LewCPE
Launchpad ส่งเมลมาตอนเช้าเลยครับว่าจะลบ key ทั้งหมดทิ้ง
ของ alioth ก็เจอเหมือนกันครับ
Update Center จะส่งไฟล์มา patch เมื่อไหร่กันน้า
macXide กล้าคิดเพื่อโลกของความเป็นจริง - อาหารเสริมนี้ดีจริง ท่านลองกิน N-acetyl L-cysteine (NAC) ดูแล้วท่านจะเลิกหงุดหงิดกับงาน
ถ้าใช้ ubuntu อยู่แนะนำให้เปลี่ยนไปใช้ mirror hardy-security ที่ security.ubuntu.com ครับ(เพราะจะได้อัปเดตล่าสุด สำหรับแพคเกจปกติใช้ mirror ไหนก็ได้ครับ) ต้องใช้ update-manager อัปเท่านั้นครับเพราะมันจะดึง openssh-blacklist มาด้วย
เพิ่มเติมข้อมูลสำหรับการตรวจสอบและแก้ไขปัญหาครับ: http://wiki.debian.org/SSLkeys
regen ละ - -