Esta mañana se publicó una vulnerabilidad grave en OpenSSH encontrada por Luciano Bello, que hace  vulnerable, las ssh keys generadas desde el 2006 en adelante, en Debian y derivados (Ubuntu, por ejemplo).

Fue anunciado en Debian y Ubuntu, ya hay disponibles actualizaciones para ambos (También en Linux Mint en vuestro MintUpdate).

Si usan keys ssh, es indispensable que actualicen a las ultimas versiones de los paquetes afectados, y regeneren sus keys.

Hay un paquete que se instala con la actualizacion con el que pueden ver si estan afectados:
ssh-vulnkey -a

Sino, pueden probar con:

wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
chmod +x dowkd.pl
./dowkd.pl file /etc/ssh/ssh_host_{dsa,rsa}_key.pub 2>/dev/null

Si dice que tu clave es debil:

sudo dpkg-reconfigure -plow openssh-server

La vulnerabilidad no es de OpenSSH en si mismo, sino de un parche aplicado en Debian, que elimina la generación de informacion random a la hora de generar los keys.

Es discutible el error, en Slashdot ya se estan matando.

Fuente: kbglob

Comentarios (1)

	1. Escrito por Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla el 14-05-2008 09:15 - Guest
	en linux? yo creia que esto de las vulnerabilidades era solamente en windows..que linux era invulnerable...

Escribir Comentario

Por favor, mantenga el tópico de los mensajes en relevancia con el tema del artículo. Lenguaje inapropiado será borrado. Por favor, no use los comentarios para promocionar su sitio, ese tipo de mensajes serán removidos. Aségurse de *Recargar* la página para mostrar un nuevo código de seguridad antes de cliquear 'Enviar', en caso de haber ingresado un código incorrecto.
Nombre:
E-mail
Sitio Web
Título:
Comentario:
	I wish being prevented by email of the comments which will follow

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved