[FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN

[Welkson Renny de Medeiros]

Era o que eu tinha visto... mas hoje lendo um link que passaram no GTS-L 
acho que confundi as coisas... no artigo o cara fala que qualquer sistema 
fica vulnerável se IMPORTAR uma chave gerada por um debian-like ;-) que não 
é o meu caso...

Obrigado Pitombera (Diego?)

Welkson


----- Original Message ----- 
From: "pitombera" <pitombera em gmail.com>
To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
<freebsd em fug.com.br>
Sent: Saturday, May 24, 2008 11:43 AM
Subject: Re: [FUG-BR] Vulnerabilidade no OpenSSL e chaves do OpenVPN


Welkson Renny de Medeiros wrote:
> Bom dia FUG's!
>
>
> Vi a alguns dicas que foi detectado uma falha no OpenSSL (CVE-2008-0166)
> [1], que é utilizado entre outras coisas para gerar chaves do OpenVPN...
> pergunta: acabei de instalar um FreeBSD 7 RELEASE todo atualizadinho, mas
> utilizei as chaves (openvpn) que tinham sido geradas no servidor antigo
> (instalado a uns 2 anos)... pelo que entendi a falha no OpenSSL gera 
> chaves
> que podem ser quebradas... no caso, acho que o correto seria gerar 
> novamente
> as chaves com o OpenSSL novo, mais ou menos isso? Resumindo: vou ter que
> reenviar as chaves para todos os clientes da vpn. Estou certo?
>
> Bom fim de semana!
>
> [1] http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166
>
>
Não, na realidade o problema foi causado pelo pessoal do Debian q
modificou o code do openssl. Detalhes em:
http://metasploit.com/users/hdm/tools/debian-openssl/
http://www.noticiaslinux.com.br/nl1211374399.html
http://www.milw0rm.com/exploits/5622

[]'s

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd