El peor error que he visto en Debian

Bueno la última semana ha estado tomando demasiada notoriedad el error en la libreria OpenSSH, que ha afectado a varios sistemas operativos, incluído Linux. La causa del problema es que hace un par de años se removió un par de líneas del código de la librería para evitar los contínuos ataques de buffer overflow a que era propenso OpenSSH, pero creo como efecto secundario, que el único número realmente aleatorio incluído en el algoritmo para generar las claves fuera el PID, que en Linux sólo toma un valor entre 1 y 32767 (aunque jamas es 1, porque ese suele ser el PID del proceso init que carga el kernel en si mismo).

Así que culaquiera podía adivinar por fuerza bruta la clave usada para encriptar la información porque sólo había que probar 32767 semillas, peor aún el proceso se hacía más rápido si se utilizaba diccionarios con los fingerprints de las claves, osea que cualquier sniffer podía capturar data para luego ser analizada y por simple fuerza bruta obtener la información encriptada en los paquetes.

Todo aquel software que usase las librerías OpenSSH estaba afectado, eso incluía obviamente el sshd (el daemon del SSH), que usamos a dirario para administrar remotamente nuestros servidores, pero también se han visto afectados los certificados SSL, que deben ser regenerados nuevamente luego de que el sistema ha sido parchado.

Aunque parchar el sistema es fácil, es tan secillo como hacer ésto como root:

# apt-get update
# apt-get dist-upgrade

El problema es que todos los certificados que hemos generado usando un Linux desde el 2006 y hasta el 13 de mayo de éste año, deben ser generados nuevamente, y ese es todo un lío, porque debemos de generar los certificados para todos aquellos servicios que confían en la encriptación como el https, ftps, imaps, pop3s, smtps, etc.

Y hacer eso me ha tenido ocupado toda la mañana de hoy. Aquellos que no esten seguros si su sistema esta dentro de los afectados, puede salir de dudas descargando y usando éste simple script de python:

http://demo21.ovh.com/82a960d7199ea9391c73c2034b6b34dfP/debian_ssh_scan_v4.tar.bz2

Espero que mientras el sistema no estuvo parchado no hayan sido hackeados con algun tipo de ataque man in the middle, sólo para estar seguros revisen si no hay nuevos usuarios creados en su sistema, o actividad sospechosa. Esperemos que ésto no se siga ramificando.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.