Aktualności: Oprogramowanie

Błąd w Debianie - Canonical przestaje wysyłać płyty z Ubuntu

A A A rozmiar czcionki

19 maja 2008 19:07

Kilka dni temu w generatorze liczb pseudolosowych stosowanym w bibliotece OpenSSL w Debianie wykryto poważny błąd, który zagraża bezpieczeństwu wielu komputerów podpiętych do Sieci. Problem jest na tyle poważny, że Canonical przestało wysyłać płyty z Ubuntu.

Informację o błędzie podano do publicznej wiadomości niecały tydzień temu, 13 maja 2008 roku. Bug, który został znaleziony przez Luciana Bella w paczce OpenSSL, polegał na usunięciu z pliku md_rand.c następującego fragmentu:
MD_Update(&m,buf,j);
[ ... ]
MD_Update(&m,buf,j); /* purify complains */

Linie skasowano, ponieważ generowały ostrzeżenia z narzędziami Valgrind i Purify wykorzystywanymi do badania jakości kodu. Skutki operacji były opłakane, generator liczb pseudolosowych stosowany przez bibliotekę OpenSSL tworzył liczbę pseudolosową na podstawie jednej jedynej wartości, jaką był... identyfikator procesu.

Jako że w Linuksie id procesu może mieć tylko 32768 wartości, z generatora wychodziły niezwykle powtarzalne liczby.

Skasujmy te linie, chyba nie są potrzebne...

Debian jest niezwykle popularną dystrybucją. Jako bazę wykorzystuje go m.in. Ubuntu i Knoppix, a na tych systemach z kolei budowane są następne odmiany Linuksa, w tym np. Linux Mint. Oczywiście błąd był w nich powielany.

Inne dystrybucje - Fedora, openSUSE, Mandriva, Slackware - nie są wrażliwe, o ile tylko ktoś nie zaimportował do nich słabych kluczy wygenerowanych w Debianie.

Luka pojawiła się po raz pierwszy w bibliotece 0.9.8c-1. W linii "unstable" Debiana obecna jest od 17 września 2006 roku (!). Dotyczy kluczy SSH, OpenVPN, DNSSEC, SSL/TLS i certyfikatów X.509 wygenerowanych od wtedy aż do dnia 13 maja 2008 roku.

Przestępcy wiedzieli wcześniej?

Na liście dyskusyjnej incidents 8 maja pojawił się wątek Weird SSH attack last night and this morning (still ongoing) poświęcony dość dziwnym, powolnym próbom logowania się na konto roota za pomocą SSH. Pierwotnie uznano, że jest to typowy - choć rzadko spotykany - przejaw włamania rozproszonego na wiele tysięcy maszyn.

Dopiero po doniesieniach deweloperów Debiana pojawiło się pytanie, czy aby to skanowanie nie jest w jakiś sposób powiązane z błędem w bibliotece OpenSSL.

Oficjalne exploity

Tuż po ogłoszeniu informacji o luce pojawiły się exploity ją wykorzystujące. Markus Mueller opublikował skrypt, który pozwalał na włamanie się do Debiana/Ubuntu w mniej niż 20 minut - ale z wykorzystaniem uprzednio wygenerowanej tablicy kluczy.

Bez niej operacja może potrwać maksymalnie dobę.

Skutki

Zarówno deweloperzy Debiana, jak i programiści pracujący nad Ubuntu udostępnili już odpowiednie łaty (tj. nowe wersje bibliotek) usuwające problem. Należy jednak pamiętać, że ich instalacja to nie wszystko - konieczne jest również ponowne wygenerowanie kluczy.

Canonical wstrzymał rozsyłanie płyt z Ubuntu 8.04 LTS za pomocą ShipIt. Na razie nie ujawniono, co się z nimi stanie - oficjalnie poprawka trafi dopiero na płytę z Ubuntu 8.04.1 (patrz też "Linux: Shuttleworth proponuje synchronizację dystrybucji").

Administratorzy stron WWW wykorzystujący Debiana w roli serwerów WWW powinni na nowo wygenerować certyfikaty SSL i zwrócić się do odpowiednich instytucji o ich zaakceptowanie. Oczywiście operacja nie jest darmowa.

Dodatkowe informacje: "Serious Debian/Ubuntu openssl/openssh bug found" (w języku angielskim)

Wystaw ocenę:

Średnia ocena:

(Głosów: )

» Dodaj komentarz

Komentarze

Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (46) |
dodaj komentarz |
zobacz wszystkie

Dziecko Neo

ocena: brak oceny
IP: 90.129.69.213
19-05-2008, 19:52

Masakra.
Fanboye linuxa pewnie nie włączą komputera przez miesiąc, bo jakiś haker im się włamie przez firefoxa.
Jaka szkoda.

ocena: brak oceny
IP: 87.119.2.78
19-05-2008, 19:58

dlatego oprogramowanie sie uaktualnia , i problem z głowy..

vvolv

ocena: brak oceny
IP: 217.144.201.107
19-05-2008, 20:22

@ Dziecko Neo
po pierwsze pisze się Linuksa,
po drugie autor newsa wyraźnie napisał że inne dystrybucje ( nieoparte na Debianie ) są bezpieczne " o ile tylko ktoś nie zaimportował do nich słabych kluczy wygenerowanych w Debianie"

cZeapiacz

ocena: 5
IP: 83.28.28.86
19-05-2008, 20:24

A takie dziecko neo może siedzieć na windzie nie wiedzać, że na piratach jest kupa bugów. A nawet jeśli ma oryginał to nie ma pewności czy w kodzie nie ma gdzieś takiej dziury bo wglądu do kodu nie ma. Choć muszę przyznać, że w tym wgzlędzie deweloperzy Linuksa dali d***.

Dobry artykulik. Daje 5 (bo nawet chciało się komuś pogrzebać w changelogach?).

gogo

ocena: brak oceny
IP: 87.205.244.64
19-05-2008, 20:30

na ubuntu łata na to wyszła prę dni temu, nowe klucze też były generowane automatycznie

tad

ocena: 4
IP: 83.24.102.43
19-05-2008, 20:40

:) a miało być, że dzięki open source błedy (umyślne i nie umyślne) są wykrywane szybko bo kod jest dostępny...
Kolejne przesądy lub kłamstwa ponownie oddalają wizje popularyzowania linuksów.
Domorośli niewydajni ale zapracowani, starający się ale niedostatecznie mierzalni (w sensie inżynierii oprogramowania) katujcie się dalej linuksem dla każdego.

Albo radykalna zmiana filozofii tworzenia jądra i dystrybucji i softu spoza dystrybucji (szczególnie deweloperskiego - w tym języki i środowiska o zamknięte w ideach z ubiegłego wieku) albo już dziś jesteście stopniowo coraz bardziej przegrani - mimo nieustannego pocieszania się na forach linuksowych jakimiś wyjątkami i pomijaniem klęsk.
Aby wygrywać linuks musi być dla każdego istotnego segmentu jego użytkowników (w tym deweloperów, administratorów, idiotów, dzieci, dyrektorów, księgowych) oferować za całokształt wyraźnie więcej niż MS.

agh

ocena: brak oceny
IP: 213.199.198.243
19-05-2008, 20:51

@tad - Wujek Dobra Rada ;) Dlaczego powstrzymujesz się od swoich wizji przy okazji artykułów o błędach w Windows?

mariusz

ocena: 5
IP: 83.6.59.167
19-05-2008, 20:58

Super artykuł - nareszcie wiadomo o co chodzi.
Wykreślono te linie bez zastanowienia - pewnie ktoś był przemęczony. Szkoda.

viśtek®

ocena: brak oceny
IP: 92.194.67.9
19-05-2008, 21:17

ahahahahahaaa hahahaha hahaha ooooo
łubudubudubuuu i runął mit o super stabilnym debianie :D z litości nie wspomnę o jego developerach :D
_______
Windows Vista - a u mnie działa !

gogo

ocena: brak oceny
IP: 87.205.244.64
19-05-2008, 21:28

@viśtek
a co ma stabilność do luki?
mimo wad my "linuksiarze" lubimy swój system i taki... ktoś jak ty głupim gadaniem tego nie zmieni a tylko sie ośmieszy
pozdro4all linux users :)

vvvv

ocena: brak oceny
IP: 89.78.52.243
19-05-2008, 21:30

macie swojego linuksa buhahahaha - tak to jest jak kazdy moze grzebac w kodzie
jedna wielka porazka - a wy chcecie konkurowac z windowsem buhahahaha

czepiacz widac ze jestes dzieckiem skoro piraty maja bugi - maja te same bledy co oryginaly a czesto maja nawet te bledy poprawione

Martodox

ocena: 5
IP: 89.127.179.30
19-05-2008, 21:34

@ viśtek®

Czy rozróżniasz bezpieczeństwo od stabilności? Jeżeli tak, to Windows nie oferuje ani bezpieczeństwa ani stabilności. Mityczny Bluescreen nawet w maszynkach do robienia zdjęć? Czemu nie!

O ile pamiętam to mamy prawo do wyboru systemu operacyjnego. Jeżeli ci się nie podoba to, że ktoś korzysta z linuksa to go zostawcie w spokoju. To tak samo, jak ludzie jeżdżą Fiatem 125p i mówią, że mają Ferrari. Są w mniejszości, ale nie można ich obrażać za to, że wolą coś innego. viśtek®, spuść z tonu!

Sam niedawno zmieniłem windowsa na linuksa i mimo wielu problemów system daje więcej satysfakcji z jego korzystania, ale nadal dobrze wspominam XP''ka.