RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Vulnerabilidade no gerador de números aleatórios do OpenSSL

Debian Security Advisory DSA-1571

[CAIS, 13.05.2008-20:57, revisão 01]


O CAIS está repassando o alerta do Debian intitulado "DSA-1571-1 openssl - predictable random number generator", que trata de uma vulnerabilidade no gerador de números aleatórios da biblioteca OpenSSL presente em sistemas Debian e derivados.

A biblioteca OpenSSL é utilizada por diversas ferramentas para oferecer serviços de criptografia de conexões, geração de certificados e chaves criptográficas.

Devido a uma modificação introduzida pelo Debian no pacote OpenSSL original, existe uma vulnerabilidade na geração de números aleatórios, o que faz com que essas aplicações gerem sempre um número limitado e pequeno de chaves criptográficas. Com isso um atacante de posse de uma lista dessas chaves pode realizar ataques de força bruta contra as aplicações e conseguir acesso ao conteúdo criptografado.

É importante notar que esta vulnerabilidade existe apenas no pacote distribuído com Debian e seus derivados, como Ubuntu. Pacotes vulneráveis incluem OpenSSH, OpenVPN, certificados X.509 gerados com as ferramentas OpenSSL, entre outros.

Esta atualização também corrige outras duas vulnerabilidades detectadas no pacote OpenSSL, sendo que uma delas permite a um atacante executar código malicioso remotamente em sistemas vulneráveis.
 
 
Sistemas afetados
 

  • Pacote Debian Stable do OpenSSL anteriores a 0.9.8c-4etch3
  • Pacote Debian Unstable do OpenSSL anteriores a 0.9.8g-9
 
 
Correções disponíveis
 
Recomenda-se fazer a atualização para as versões disponíveis no URL abaixo. Por favor verifique a versão aplicável para seu sistema.
 
 
Além disso, recomenda-se recompilar todas as aplicações que utilizam o pacote vulnerável e gerar novamente todas as chaves e certificados gerados com o OpenSSL superior a OpenSSL 0.9.8c-1.
 
 
Mais informações
 
 
Identificador CVE (http://cve.mitre.org): CVE-2008-0166
 
 
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303