image

GovCERT: Debian OpenSSL-lek treft ook niet-Debian gebruikers

maandag 19 mei 2008, 16:49 door Redactie, 12 reacties

Overheidsinstelling GovCERT waarschuwt voor het zeer ernstige lek in de OpenSSL-implementie van de Linux-distributie Debian dat een aantal dagen geleden werd ontdekt. Deze factsheet beschrijft de achtergronden van deze kwetsbaarheid, de mogelijke gevolgen en geeft advies over de stappen die men kan nemen om de gevolgen voor organisaties beperkt te houden. Als gevolg van het lek zijn alle sleutels die in de afgelopen anderhalf jaar met OpenSSL op Debiansystemen zijn gegenereerd eenvoudig te kraken.

Het gaat hierbij niet alleen om SSH-sleutels, maar ook OpenVPN-sleutels, DNSSec-sleutels en sleutelmateriaal dat gebruikt wordt in X.509-certificaten en SSL/TLS-sessies. Praktisch gezien heeft dit dus effecten op de veiligheid van diverse beveiligingscomponenten, zoals de toegang tot SSH-servers, VPN-concentrators en beveiligde verbindingen met onder meer webservers en mailservers. Een belangrijk aandachtspunt is dat het lek ook gebruikers en bedrijven treft die geen Debian gebruiken.

Reacties (12)
19-05-2008, 17:17 door Anoniem
Ja, dat vreesde ik al...Want als beveiligde verbindingen
zijn te kraken, ja dan is het goed hommeles.
19-05-2008, 20:30 door Anoniem
No shit sherlocs,,,,
19-05-2008, 21:42 door [Account Verwijderd]
[Verwijderd]
19-05-2008, 22:00 door Anoniem
Ook Ubuntu en Knoppix kwetsbaar...

Ik heb meteen m'n ububtu bakkies nog even geupdate: een hele
serie OpenSSL patches. Wat ik wel cool vind van Ubuntu is
dat in dezelfde update de door de kwetsbare OpenSSL
gegenereerde certificaten worden vernieuwd. Met de melding:
als je hier niets van snapt gewoon op OK drukken :-)
19-05-2008, 22:08 door Anoniem
Door Jos Visser
Heb ik niet goed opgelet of is er inderdaad nog geen FUD van Mickey Soft
voorbij gekomen met als centrale thema dat open source software zuigt?
Nope, mensen met een verstand doen daar niet aan.
Elk brok software heeft fouten, dat komt omdat het mensen werk is en
mensen maken eenmaal fouten. En van fouten moet je niet gaan vingerwijzen
want dat heeft helemaal geen zin maar daar moet je van leren zodat ze niet
vaker voorkomen.
20-05-2008, 06:45 door Anoniem
Ik gebruik zelf Debian op al mijn servers EN desktops. Voor
een bedrijf is het inderdaad een hoop werk, zeker als je die
nieuwe SSL certificaten opnieuw moet laten ondertekenen door
een CA.

Verder je VPN en SSH sleutles vervangen valt wel mee als je
je systeem goed hebt ingericht. Dan staan die sleutels
zoveel mogelijk op een veilig stukje van je bestandssysteem
en kun je ze -desnoods in een bash-scriptje- allemaal
vernieuwen. Ik heb er zeggen-en-schrijven 1 uur werk aan gehad.

Verder denk ik dat "Mickeysoft" gewoon nog even wacht en
lekker in z'n vuistje aan het lachen is. :-) Laat ze maar
gaan: wij weten heus wel beter, en laten we blij zijn dat er
zo'n ophef over wordt gemaakt: dan is iedereen zo snel
mogelijk weer veilig. Gebruikers van een commercieel OS
worden zelden of nooit zo goed geïnformeerd over dit soort
security issues...
20-05-2008, 10:16 door Anoniem
Door Anoniem
Door Jos Visser
Heb ik niet goed opgelet of is er inderdaad nog geen FUD van Mickey Soft
voorbij gekomen met als centrale thema dat open source software zuigt?
Nope, mensen met een verstand doen daar niet aan.
Elk brok software heeft fouten, dat komt omdat het mensen werk is en
mensen maken eenmaal fouten. En van fouten moet je niet gaan vingerwijzen
want dat heeft helemaal geen zin maar daar moet je van leren zodat ze niet
vaker voorkomen.

Nou een discussie over welk OS beter is, vind ik zowiezo zinloos maar dit is
geen normale fout die overal kan voorkomen.

Het is typisch een Open Source zwakheid wat hier is gebeurd. Ook is dit nu
precies de manier waarop iemand een onopvallend achterdeurtje kan
inbouwen.

Als ik een inlichtingendienst zou zijn die wil meeluisteren wat er over de lijn
gaat dan is dit de manier waarop ik te werk zou gaan.

Misschien zou ik het iets subtieler aanpakken als er een kans in zit dat
hierdoor mijn eigen land veel economische schade zou kunnen ondervinden.

Als mijn vijanden/concurrenten Debian gebruikers zouden zijn, en mijn land op
OS11 zou draaien dan lijkt het me een aantrekkelijk grapje.
20-05-2008, 10:35 door Anoniem
"het is typisch een open source zwakheid wat hier is gebeurd"

kijk, daar heb je je FUD
20-05-2008, 15:51 door Anoniem
Door Anoniem
"het is typisch een open source zwakheid wat hier is gebeurd"

kijk, daar heb je je FUD
Kijk, deze uitspraak uit verband trekken, een quote zonder context is pas FUD
de wereld in helpen.
20-05-2008, 22:18 door Anoniem
Een stukje van de fact-sheet:

Wie heeft te maken met deze kwetsbaarheid?
Indien u binnen uw organisatie gebruik maakt van Debian of
afgeleide systemen als Ubuntu-varianten (Kubuntu, Edubuntu)
of Knoppix, heeft u vrijwel zeker te maken met deze
kwetsbaarheid. Sleutelmateriaal dat gemaakt is op de
betreffende systemen is in dit geval kwetsbaar.
De eerste versie van OpenSSL die deze kwetsbaarheid bevatte
was versie 0.9.8c-1 op Debian. De kwetsbaarheid is nu
opgelost door Debian in de versies 0.9.8c-4etch3 (voor de
stable Debian-distributie) en 0.9.8g-9 (voor de unstable
Debian-distributie).
Als u binnen uw organisatie geen gebruik maakt van Debian of
afgeleiden, dan bent u mogelijk toch getroffen. Het kan
namelijk zijn dat u binnen uw organisatie sleutelmateriaal
gebruikt dat gemaakt is op Debian-systemen.

De vraag is of en hoe je kan nagaan of je sleutelmateriaal
op een Debian-systeem gemaakt is. Dat zou wat herstelwerk
kunnen schelen.


Op de Metasploit-pagina die in de fact-sheet genoemd wordt,
beschrijft men exact de fout (oss, handig!):

The Bug
On May 13th, 2008 the Debian project announced that Luciano
Bello found an interesting vulnerability in the OpenSSL
package they were distributing. The bug in question was
caused by the removal of the following line of code from
md_rand.c

MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

These lines were removed because they caused the Valgrind
and Purify tools to produce warnings about the use of
uninitialized data in any code that was linked to OpenSSL.
You can see one such report to the OpenSSL team here.
Removing this code has the side effect of crippling the
seeding process for the OpenSSL PRNG. Instead of mixing in
random data for the initial seed, the only "random" value
that was used was the current process ID. On the Linux
platform, the default maximum process ID is 32,768,
resulting in a very small number of seed values being used
for all PRNG operations.


Kort gezegd zijn er enkele regels verwijderd, die problemen
gaven met andere software. Daarbij is iets principieels
vergeten. Waarom zou dat typisch iets voor open source
software zijn?
Een eigenlijk logische fout als deze kan iedereen toch maken?
Dat de ontwikkelaars alleen maar symptomen bestreden hebben,
zien we wel vaker in software-land.
21-05-2008, 09:12 door Anoniem
Door Anoniem
Door Anoniem
"het is typisch een open source zwakheid wat hier
is gebeurd"

kijk, daar heb je je FUD
Kijk, deze uitspraak uit verband trekken, een quote zonder
context is pas FUD
de wereld in helpen.


natuurlijk *kan* het mis gaan, zoals hier gebleken is. Maar
dat is bij open source software waar de hele wereld mee kan
kijken nog steeds moeilijker dan bij closed source. Als je
als inlichtingendienst een mannetje op een vertrouwde plek
in een software bedrijf dat closed software maakt krijgt kan
die heel wat meer schade doen dan iemand op een vertrouwde
plek in een open source project.
21-05-2008, 18:13 door Anoniem
Door Anoniem

Nou een discussie over welk OS beter is, vind ik zowiezo
zinloos maar dit is
geen normale fout die overal kan voorkomen.

Het is typisch een Open Source zwakheid wat hier is gebeurd.
Ook is dit nu
precies de manier waarop iemand een onopvallend
achterdeurtje kan
inbouwen.

Tjonge, in 1 zin weet je te zeggen: "ik ben tegen geweld en
als je daar een probleem mee hebt sla ik er op los"
Want dat doe je in feite.

Maar ik begrijp uit jouw verhaal dat jij liever niet weet
welke achterdeurtjes in jouw systeem zitten? Want dat
Microsoft achterdeurtjes heeft, is inmiddels genoegzaam
bekend. Ook het feit dat Microsoft inmiddels actief
opsporingsinstanties helpt om achterdeurtjes te
vinden/gebruiken op Windows-computers is ook bekend.
Maar jij vind één lek in een Open Source programma een
typisch voorbeeld waarom je geen Open Source zou moeten
gebruiken...

Welterusten!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.