Descripción: El certificado SSL remoto utiliza una clave débil. El certificado x509 remoto en el servidor SSL se ha generado en un sistema Debian o Ubuntu que contiene un error en el generador de números aleatorios de su biblioteca OpenSSL. El problema se debe a que un empaquetador de Debian/Ubuntu elimina casi todas las fuentes de entropía en la versión remota de OpenSSL. Un atacante puede obtener fácilmente la parte privada de la clave remota y usarla para descifrar la sesión remota o configurar un ataque intermedio.

CVE: CVE-2008-0166
Factor de Riesgo: Crítico
Valor CVSS Base: 10.0

Explotable con: Core Impact

Solución: Considere todo el material criptográfico generado en el host remoto para poder adivinarlo. En particular, se debe volver a generar todo el material de claves SSH, SSL y OpenVPN.

  • Generación de claves PEM genéricas en OpenSSL
cd /etc/ssl/private
openssl genrsa 1024 > mysite.pem
cd /etc/ssl/certs
openssl req -new -key ../private/mysite.pem -x509 -days 9999 -out mysite.pem

Nota: Es probable que su sitio tenga otras políticas vigentes sobre cómo administrar las claves que debe seguir. Además, es posible que deba obtener los certificados nuevamente firmados por una autoridad certificadora de terceros en lugar de utilizar un certificado autofirmado.

  • Re-generar las claves de usuario afectadas SSH

    Las claves OpenSSH utilizadas para la autenticación de usuarios deben regenerarse manualmente, incluidas aquellas que pueden haberse transferido a un sistema diferente después de generarse. Se pueden generar nuevas claves usando ssh-keygen, por ejemplo:

$ ssh-keygen
   Generating public/private rsa key pair.
   Enter file in which to save the key (/home/user/.ssh/id_rsa):
   Enter passphrase (empty for no passphrase):
   Enter same passphrase again:
   Your identification has been saved in /home/user/.ssh/id_rsa.
   Your public key has been saved in /home/user/.ssh/id_rsa.pub.
   The key fingerprint is:
   00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host

Nota: Actualizar los archivos autorizados_keys (si es necesario)

Referencias:

https://www.tenable.com/plugins/nessus/32321

https://www.debian.org/security/key-rollover/

https://www.debian.org/security/key-rollover/#openssl

https://wiki.debian.org/SSLkeys

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like