Вести с торсионных полей

May 14th, 2008

01:27 am - DSA-1571-1

По поводу сабжа - впору паниковать. Ну, или хотя бы начинать беспокоиться. Пожалуй, это самое крупное происшествие с безопасностью в Debian'е (и Ubuntu) за последние несколько лет. Подробности писать не буду, их везде и так полно - от самого Debian.org до ЛОРа. Так что читаем debian security advisory, вникаем в суть проблемы, проверяем свои ключи SSH на weakness, убираем старые и генерируем новые ключи.

Пол-второго ночи, и я наконец-то иду спать. Почистил authorized_keys, пересоздал хост-ключи. Чертовски обидно, что я как раз на днях купил SSL-сертификат для своего сайта - скорее всего, потребуется перевыпускать. Но https, пожалуй, подождёт до завтра.
Tags:

04:21 pm - Ещё раз про DSA-1571-1

Ben Laurie, один из разработчиков OpenSSL, пишет про эту уязвимость в своём блоге:

… Two years ago, they “fixed” a “problem” in OpenSSL reported by valgrind by removing any possibility of adding any entropy to OpenSSL’s pool of randomness. The result of this is that for the last two years (from Debian’s “Etch” release until now), anyone doing pretty much any crypto on Debian (and hence Ubuntu) has been using easily guessable keys. This includes SSH keys, SSL keys and OpenVPN keys.

What can we learn from this? Firstly, vendors should not be fixing problems (or, really, anything) in open source packages by patching them locally - they should contribute their patches upstream to the package maintainers. Had Debian done this in this case, we (the OpenSSL Team) would have fallen about laughing, and once we had got our breath back, told them what a terrible idea this was. But no, it seems that every vendor wants to “add value” by getting in between the user of the software and its author.

Краткий пересказ на русском: нехорошие maintainer'ы от нефиг делать (чтобы valgrind заткнулся и перестал предупреждать об использовании неинициализированной переменной) немного пропатчили код, наломав при этом дров (ибо не ведали, что творят). И, само собой, они не сказали об этом мудрым разработчикам OpenSSL — а уж они бы такого бардака не допустили бы.

Но самое интересное — в комментариях. Этому разработчику говорят — maintainer'ы вообще-то про это писали (см. комментарий #27). В рассылку openssl-dev. И архивы сохранились.

Funny thing is, it *was* reported to openssl-dev:
http://marc.info/?l=openssl-dev&m=114651085826293&w=2

I’m not seeing a reply from you there or a negative reply whatsoever.

Но разработчик говорит, что рассылка openssl-dev — это совсем не то место, где следует обсуждать такие вопросы. И вообще, у него нет времени читать эту рассылку. (Комментарий #43).

It seems that the Debian maintainer did, indeed, mention his plan on openssl-dev. Openssl-dev is a list for people developing OpenSSL based software, not a list for discussing the development of OpenSSL itself. I don’t have the bandwidth to read it myself. If you want to communicate with the OpenSSL developers you need to use openssl-team@openssl.org. At no time, as people have suggested, was a patch offered to OpenSSL, and the discussion on openssl-dev was misleading.

Чисто без палева. Смотрим на http://www.openssl.org/support/ и видим описание рассылки openssl-dev: «Discussions on development of the OpenSSL library. Not for application development questions!». Мораль сей басни придумайте сами.
Tags: , , ,
Previous Day - Next Day
Powered by LiveJournal.com