Generador de números aleatorios predecibles de la biblioteca OpenSSL de Debian
Descripción: El certificado SSL remoto utiliza una clave débil. El certificado x509 remoto en el servidor SSL se ha generado en un sistema Debian o Ubuntu que contiene un error en el generador de números aleatorios de su biblioteca OpenSSL. El problema se debe a que un empaquetador de Debian/Ubuntu elimina casi todas las fuentes de entropía en la versión remota de OpenSSL. Un atacante puede obtener fácilmente la parte privada de la clave remota y usarla para descifrar la sesión remota o configurar un ataque intermedio.
CVE: CVE-2008-0166
Factor de Riesgo: Crítico
Valor CVSS Base: 10.0
Explotable con: Core Impact
Solución: Considere todo el material criptográfico generado en el host remoto para poder adivinarlo. En particular, se debe volver a generar todo el material de claves SSH, SSL y OpenVPN.
- Generación de claves PEM genéricas en OpenSSL
cd /etc/ssl/private openssl genrsa 1024 > mysite.pem cd /etc/ssl/certs openssl req -new -key ../private/mysite.pem -x509 -days 9999 -out mysite.pem
Nota: Es probable que su sitio tenga otras políticas vigentes sobre cómo administrar las claves que debe seguir. Además, es posible que deba obtener los certificados nuevamente firmados por una autoridad certificadora de terceros en lugar de utilizar un certificado autofirmado.
$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/user/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user/.ssh/id_rsa. Your public key has been saved in /home/user/.ssh/id_rsa.pub. The key fingerprint is: 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host
Nota: Actualizar los archivos autorizados_keys (si es necesario)
Referencias:
https://www.tenable.com/plugins/nessus/32321
https://www.debian.org/security/key-rollover/
No Comment
You can post first response comment.