Tags:
Node Thumbnail

เมื่อไม่กี่ชั่วโมงมานี้มีการค้นพบข้อบกพร่องในส่วนของการสร้างตัวเลขแบบสุ่มในแพ็กเกจ OpenSSL ทำให้การสุ่มคีย์ได้ค่าซ้ำง่ายกว่าที่ควรจะเป็น ส่งผลให้แฮกเกอร์อาจจะเดาคีย์ในเครื่องที่ใช้ OpenSSL เหล่านี้ได้

สำหรับ Ubuntu ที่ได้รับผลกระทบจากบั๊กนี้คือรุ่น 7.04, 7.10 และ 8.04 สำหรับ Debian นั้นรุ่น etch, lenny, และ sid ได้รับผลกระทบจากบั๊กนี้ ที่สำคัญกว่านั้นคือซอฟต์แวร์ที่ได้รับผลกระทบนั้น เป็นวงกว้างค่อนข้างมาก โดยส่วนที่ยืนยันว่าเกี่ยวข้องคือ

  • openssh (ทั้งฝั่งผู้ใช้และเซิร์ฟเวอร์)
  • OpenVPN
  • DNSSEC
  • ซอฟต์แวร์ที่ใช้โพรโตคอล X.509
  • encfs
  • Tor
  • postfix
  • cyrus imapd
  • courier imap/pop3
  • apache2 (ssl certs)
  • dropbear
  • cfengine

คำแนะนำในตอนนี้คือแอดมินทุกเครื่องควรอัพเกรดแพ็กเกจเหล่านี้อย่างเร่งด่วน และสร้างคีย์ขึ้นใหม่ทั้งหมดไม่ว่าจะเป็นของเครื่องเซิร์ฟเวอร์หรือของผู้ใช้เอง หรืออาจจะใช้โปรแกรม ssl-vulnkey เพื่อตรวจสอบคีย์ที่ได้รับผลกระทบจากบั๊กนี้ได้

ที่มา - Debian Mailing List, Ubuntu Mailing List

Get latest news from Blognone

Comments

By: thep
Writer
on 14 May 2008 - 12:46 #51689

แต่ยังไม่มีการยืนยันว่าบั๊กนี้ส่งผลกับ Debian รุ่นใดบ้าง

ใน Debian security alert เมื่อวานนี้ ก็ระบุนะครับ ว่ามีผลตั้งแต่รุ่น 0.9.8c-1 ขึ้นมา จึงมีผลตั้งแต่ etch เป็นต้นมา ไม่มีผลกับ sarge

By: lew
FounderJusci's WriterMEconomicsAndroid
on 14 May 2008 - 12:51 #51691 Reply to:51689
lew's picture

แก้ไขแล้วนะครับ

LewCPE


lewcpe.com, @wasonliw

By: willwill
ContributorAndroid
on 14 May 2008 - 12:49 #51690
willwill's picture

Launchpad ส่งเมลมาตอนเช้าเลยครับว่าจะลบ key ทั้งหมดทิ้ง

By: thep
Writer
on 14 May 2008 - 13:18 #51694 Reply to:51690

ของ alioth ก็เจอเหมือนกันครับ

By: macxide
iPhoneAndroid
on 14 May 2008 - 14:30 #51702 Reply to:51694

Update Center จะส่งไฟล์มา patch เมื่อไหร่กันน้า

macXide กล้าคิดเพื่อโลกของความเป็นจริง - อาหารเสริมนี้ดีจริง ท่านลองกิน N-acetyl L-cysteine (NAC) ดูแล้วท่านจะเลิกหงุดหงิดกับงาน

By: willwill
ContributorAndroid
on 14 May 2008 - 16:51 #51709 Reply to:51702
willwill's picture

ถ้าใช้ ubuntu อยู่แนะนำให้เปลี่ยนไปใช้ mirror hardy-security ที่ security.ubuntu.com ครับ(เพราะจะได้อัปเดตล่าสุด สำหรับแพคเกจปกติใช้ mirror ไหนก็ได้ครับ) ต้องใช้ update-manager อัปเท่านั้นครับเพราะมันจะดึง openssh-blacklist มาด้วย

By: thep
Writer
on 14 May 2008 - 13:19 #51695

เพิ่มเติมข้อมูลสำหรับการตรวจสอบและแก้ไขปัญหาครับ:
http://wiki.debian.org/SSLkeys

By: lancaster
Contributor
on 15 May 2008 - 10:05 #51753

regen ละ - -