[FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

Giancarlo Rubio gianrubio em gmail.com
Sábado Maio 24 12:08:35 BRT 2008


"Melhor dizendo" eles comentaram uma linha que garantia a aleatoridade
das chaves geradas pois a mesma estava dando warnings de compilacao, o
que ocasionou a restricao do numero de chaves para 32768 em vez das
milhoes de chaves possiveis.
O que uma linha de codigo pode causar em todo um software com aspecto
em seguranca!!!!

2008/5/24 pitombera <pitombera em gmail.com>:
> Welkson Renny de Medeiros wrote:
>> Bom dia FUG's!
>>
>>
>> Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
>> [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
>> pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
>> utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
>> (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera chaves
>> que podem ser quebradas... no caso, acho que o correto seria gerar novamente
>> as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
>> reenviar as chaves para todos os clientes da vpn. Estou certo?
>>
>> Bom fim de semana!
>>
>> [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166
>>
>>
> Não, na realidade o problema foi causado pelo pessoal do Debian q
> modificou o code do openssl. Detalhes em:
> http://metasploit.com/users/hdm/tools/debian-openssl/
> http://www.noticiaslinux.com.br/nl1211374399.html
> http://www.milw0rm.com/exploits/5622
>
> []'s
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Giancarlo Rubio


Mais detalhes sobre a lista de discussão freebsd