[FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

pitombera pitombera em gmail.com
Sábado Maio 24 11:43:05 BRT 2008


Welkson Renny de Medeiros wrote:
> Bom dia FUG's!
>
>
> Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166) 
> [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN... 
> pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas 
> utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo 
> (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves 
> que podem ser quebradas... no caso, acho que o correto seria gerar novamente 
> as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que 
> reenviar as chaves para todos os clientes da vpn. Estou certo?
>
> Bom fim de semana!
>
> [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166
>
>   
Não, na realidade o problema foi causado pelo pessoal do Debian q 
modificou o code do openssl. Detalhes em:
http://metasploit.com/users/hdm/tools/debian-openssl/
http://www.noticiaslinux.com.br/nl1211374399.html
http://www.milw0rm.com/exploits/5622

[]'s



Mais detalhes sobre a lista de discussão freebsd