باگ تو دبیان!!

22 06 2008

Linux Debian اعلام کرد که یک آسیب پذیری ناخوشایند رمزنگاری در بسته OpenSSL این شرکت وجود دارد. Debian بطور گسترده ای بهعنوان مستحکمترین توزیع لینوکس در نظر گرفته می شود. افسانه ای وجود دارد که کوتوله های اروپایی Debian با زحمت فراوان هر نسخه از لینوکس رابا ابزارهای دست آماده سازی می کنند. که از نیاکان خود که ساعت ساز یا نجار تزییناتی بوده اند، به ارث بردند. ( گفتم فقط افسانه ، پس اعتقاد ندارم یعنی خرافاتی نیستم!!) Debian در عین حال دارای این شهرت است که نصب و مدیریت آن برای کاربران مبتدی لینوکس دشوار بود. ( من مبتدی نیستم – چون حداقل یک سال دارم تو Suse برنامه نویسی می کنم – اما خداییش پدرم در اومد تا تونستم نصبش کنم!)

ظاهرا حامیان Debian این آسیب پذیری را با حذف کدی که ایجاد شماره تصادفی مورد استفاده جهت محاسبه رمزنگاری را پیگیری می کرد، بوجود آورده اند. نتیجه این بوده است که تولید کننده اعداد تصادفی مورد استفاده در بسته OpenSSL Debian قابل پیش بینی شده و در نتیجه، امکان حدس زدن کلیدهای رمزنگاری بوجود می آمده است.

در توصیه امنیتی DSA-1571-1 شرکت Debian آمده است (این قسمت رو از روی بزرگراه رایانه شماره ی 110 نوشتم) :”

کلیدهایی که تحت تاثیر قرار می گیرند عبارند از کلییدهای SSH ، کلیدهای OpenVPN، کلیدهای DNSSEC و مواد کلید مورد استفده برای تاییدیه های X.509 و کلیدهای نشست مورد استفاده در ارتباطات SSL/TLS. کلیدهای تولید شده با GnuPG یا GNUTLS تحت تاثیر این آسیب پذیری قرار نمی گیرند.”

توصیه نامه، URL هایی را برای یک تشخیص دهنده کلیدهای رمز گذاری ضغیف و همچنین محل دستورالعملهای مربوط به نحوه پیاده سازی Key Rollover را معرفی می نماید.

این آسیب پذیری در سیستمهای لینوکس Debian و نسخه های مشتق شده از آن وجود دارد. اما نسغه های Ubuntu از لینوکس که اخیرا به شکل گسترده ای میان کاربران نه چندان جدی لینوکس معروف شده را نیز در بر می گیرد. کد OpenSSL مشکل ساز در تاریخ 16 سپتامبر 2006 - 25 شهریور 1386 در توزیع ناپایدار Debian (Unstable) ظاهر شده و از آن رمان به بعد به توزیع های آزمایشی و پایدار علی با نام Debian با نام Sarge تحت تاثیر این مشکل قرار ندارد.

بسیاری از کاربران لینوکس Debian تا رمانیکه کلیدهای رمزنگاری را برای دسترسی SSH (Secure Shell) مابین سیستمها یا

امضا دیجیتال یا تاییدیه های اعتبار ایجاد نکرده باشند. تحت تاثیر این باگ SSL (Secure Sockets Layer) قرار نمی گیرند. با اینحال متحصصینی که سییستمهای لینوکی مبتنی با ترافیک فراوان تاییدیه (Certificate) را سرپرستی می کنند احتمالا در آینده نزدیک بسته OpenSSL ارتقا یافته را ذریافت خواهند کرد تا بتوانند تاییدیه ها و کلیدهای رمزنگاری را بازسازی کنند.

(قبول دارم مطلب سنگینی بود! ، راستش خودم یه جاهاییشو نفهمیدم . این ملب رو کاربران حرفه ای درک می کنند. )  D:

« »


کارها

اطلاعات

  • تاریخ : ژوئن 22, 2008
  • دسته‌ها : Linux, Security

دیدگاه‌تان را بنویسید: