Press "Enter" to skip to content

Informações sobre a falha do openssl

TEXTO RETIRADO DO BR-LINUX.ORG

Na semana passada o projeto Debian enviou um comunicado informando que, devido a uma modificação específica do Debian (realizada em 2006) no pacote openssl, as chaves criptográficas geradas nos sistemas afetados podem ser bem mais fracas do que deviam. (Saiba mais).

A correção para a falha de software não tardou, tanto no Debian quanto nos seus mais populares derivados, como o Ubuntu, que distribuíram o pacote ao longo destes meses todos. A correção inclui até mesmo um pacote com uma lista negra de chaves de autenticação ssh consideradas comprometidas, e um utilitário ssh-vulnkey capaz de verificar todas as chaves em locais padrão do seu sistema local em busca de problemas – se você roda Debian ou derivados e permite acesso via SSH, faça uma verificação completa o quanto antes!

E se você não roda, mesmo assim pode estar em risco, caso tenha algum dia gerado uma chave em uma máquina com o bug, e a exportado para outra máquina – mesmo que esta outra máquina não tenha o bug. Ou se recebeu em uma máquina sem bug uma chave gerada em uma máquina com bug. Vale verificar todas as máquinas em que você permite o acesso ssh via certificados, ou no mínimo todas as instâncias de arquivos ~/.ssh/authorized_keys* (e seus parentes, como ~/.ssh/id_rsa, ~/.ssh/id_dsa, ~/.ssh/identity, etc/ssh/ssh_host_dsa_key e /etc/ssh/ssh_host_rsa_key), removendo e substituindo entradas suspeitas ou inseguras.

Existem várias maneiras de tornar o acesso ssh menos vulnerável a ataques baseados em repetição de tentativas, e se você tiver dúvidas, talvez valha a pena suspender o serviço ssh em todos os locais em que ele não for absolutamente necessário, até que possa escolher o melhor curso de ação.

Para entender melhor a situação, leia também:

Saiba mais (computerworld.com.au).