Aliet escribió: > cuantos de nosotros sabiamos q los desarrolladores del Debian habian > comentado una linea en el codigo fuente del paquete > OpenSSL q se usaba desde el 2002, y q no permitia adicionar suficiente > entropia a los pares de llaves DSA, RSA generadas > con Debian o derivados, incluyendo Ubuntu, nadie lo sabia, y saben cual es la > repercusion de esto?? > q si alguno de ustedes utilizaba un par de llaves generados en un Debian con > este fallo para loguearse a su ssh, puede > ser generado el par exacto y mediante fuerza bruta loguearse con los > privilegios q sea, con solo 32mil posibilidades para > cada llave publica en el servidor remoto... y las llaves de 4096 bits de > tamanno se generan en un Intel Xeon a 3Ghz en > dias... asi q realmente no sabemos por que usamos cual distro, si no > estudiamos el codigo fuente de *cada* paquete compilado > para esa dicha distribucion... escoger una *con razon* es mas dificil > entonces de lo q pensabamos... > >
http://lists.debian.org/debian-security-announce/2008/msg00152.html Ese es el anuncio oficial del ERROR de la famosa entropía de OpenSSL y fue a partir del 2006, no del 2002, SARGE por ejemplo no es vulnerable... Y este agujero a tenido mas "BULLA" por los medios que otra cosa, la solución es tan simple como: 1. Parchear 2. Revocar certificados 3. Crear nuevos certificados 4. Borrar los viejos. El único peligro fue el tiempo que estuvo desconocida, que fueron 2 anos... y se peligro ya paso... Salu2 Alien! _______________________________________________ Cancelar suscripción https://listas.softwarelibre.cu/mailman/listinfo/linux-l Buscar en el archivo http://listas.softwarelibre.cu/buscar/linux-l
