Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2008 > CERT-FI haavoittuvuustiedote 058/2008

CERT-FI haavoittuvuustiedote 058/2008

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

13.5.2008

Korjaus saatavilla Debianin OpenSSL-pakettiin

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Debianin paketoimasta OpenSSL-toteutuksesta on korjattu haavoittuvuus. Haavoittuvuus liittyy Debianin OpenSSL-paketin satunnaislukugeneraattorin (PRNG) toteutukseen. Haavoittuvuuden vuoksi eräät OpenSSL-versiot tuottavat ennalta-arvattavaa kryptografista avainmateriaalia. Kaikki haavoittuvalla OpenSSL-versiolla generoitu kryptografinen materiaali (mahdollisesti esim. SSH- tai OpenVPN-avaimet) suositellaan generoitavaksi uudelleen. Haavoittuvuus ei koske muiden kuin Debian-pohjaisten (myös Ubuntu, Knoppix jne.) järjestelmien OpenSSL-toteutuksia. On kuitenkin tärkeää huomioida, että ennalta-arvattavaa kryptografista materiaalia tuottavalla Debian OpenSSL-versiolla generoitua materiaalia voidaan käyttää myös muissa kuin Debian-pohjaisissa järjestelmissä. Tällä tavalla myös muut järjestelmät voivat altistua haavoittuvuudelle. Kaikki haavoittuvalla OpenSSL-versiolla tuotettavissa olevat SSH-avainparit (1024-bit DSA, 2048-bit RSA ja 4096-bit RSA) on myös julkisesti saatavilla ja niitä voidaan hyödyntää muun muassa julkisen avaimen autentikaatiota käyttävien SSH-käyttäjätilien murtoyrityksissä.

HAAVOITTUVAT OHJELMISTOT:

  • Debian OpenSSL versiosta 0.9.8c-1 eteenpäin (mukaanlukien mainittu versio).

Stable-haarassa (etch) haavoittuvuus on korjattu versiossa 0.9.8c-4etch3. Unstable (sid) ja testing (lenny) -haaroissa haavoittuvuus on korjattu versiossa 0.9.8g-9. Ubuntussa haavoittuvuus on korjattu seuraavissa paketeissa:

  • Ubuntu 7.04: libssl0.9.8 0.9.8c-4ubuntu0.3
  • Ubuntu 7.10: libssl0.9.8 0.9.8e-5ubuntu3.2
  • Ubuntu 8.04: libssl0.9.8 0.9.8g-4ubuntu3.1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Asenna Debianin tai Ubuntun OpenSSL-paketin korjattu versio valmistajan ohjeen mukaisesti. Generoi uudestaan haavoittuvalla versiolla tuotetut avaimet.

http://lists.debian.org/debian-security-announce/2008/msg00152.html

http://www.ubuntu.com/usn/usn-612-1

Debian on julkaissut työkalun heikkojen avainten tunnistamiseen:

http://security.debian.org/project/extra/dowkd/dowkd.pl.gz

LISÄTIETOA:

PÄIVITYSHISTORIA:

13.5.2008, kello 16.10: Julkaistu

15.5.2008, kello 16.00: Haavoittuvuuden tietoja tarkennettu

 Kommentoi 
Sivua päivitetty 15.05.2008   Tulostusversio Tulostusversio