Grave vulnerabilidad en OpenSSL afecta a Debian y Ubuntu

La vulnerabilidad detectada (CVE-2008-0166) afecta a los sistemas Debian (Etch, Sid o Lenny) o Ubuntu (7.04 Feisty, 7.10 Gutsy o 8.04 Hardy) y a las claves SSH, DNSSEC, claves empleadas en los certificados X.509 y claves de sesión empleadas en conexiones SSL/TLS, emitidas desde septiembre de 2006 hasta el 13 de mayo de 2008 utilizando la librería OpenSSL 0.9.8c-1 y las anteriores a la 0.9.8c-4etch3 ó 0.9.8g-9 (sid, lenny). La vulnerabilidad afectará a otros sistemas si las claves generadas en los equipos vulnerables les han sido transferidas.

Los sistemas Debian se han visto afectados ya que esta distribución parchea su propia versión de OpenSSL. Se ha descubierto que el generador de números aleatorios del paquete OpenSSL que viene con estas distribuciones es predecible. Esto hace que las claves generadas con él ya no sean seguras. En este caso, ha eliminado una línea crucial de código que limita el generador a producir sólo 2¹⁵ claves (solamente 32.768), en vez de poder elegir claves en un rango mayor de probabilidad. Esto supone que pueden haber ataques por fuerza bruta que obtengan la clave privada.

HD Moore ha publicado en Metasploit todas las claves SSH de 1024, 2048 y 4096bits RSA que ha conseguido por fuerza bruta. Además ha puesto en libre descarga un programa que permite acceder fácilmente a cualquier cuenta SSH vulnerable.

Para los certificados de los servidores web, la clave pública es totalmente 'pública', de esta forma para claves generadas en sistemas Debian vulnerables, la clave privada puede obtenerse fácilmente, permitiendo a un atacante construir un ataque Man-In-the-Middle en el navegador sin que el usuario se de cuenta.
Si la clave pública es conocida entonces no se necesita fuerza bruta, el atacante la puede obtener directamente. Caso contrario basta con probar con 32mil claves.

No es suficiente con actualizar el paquete de OpenSSL, se deben actualizar todos los certificados siguiendo el procedimiento descrito en Recursos CSIRTCV.
También se deben regenerar los certificados para SSL (X.509) y enviarlos de nuevo a la CA.

Existe una herramienta que puede verificar la validez de una clave aunque no es fiable al 100% puesto que la lista_negra que incorpora puede estar incompleta.

Más información:

- Noticia CSIRTCV
- Recursos CSIRTCV
- CVE-2008-0166
- BID-29179
- Debian OpenSSL Patch
- Debian OpenSSH Patch

Debian, Ubuntu y otros sistemas basados en Debian con OpenSSL a partir de la versión 0.9.8c-1.

Sistemas que proporcionen servicios SSH o VPN a usuarios Debian o Ubuntu también pueden verse afectados al poseer claves o certificados vulnerables.

Riesgo:   Alto

Debido a cambios introducidos por Debian en los paquetes openssl, el generador de números aleatorios de Debian puede ser predecible. Como consecuencia de este hecho, un atacante podría obtener la clave utilizando un ataque por fuerza bruta incluso teniendo mínimos conocimientos del sistema.

Entre las claves afectadas se encuentran las claves SSH, claves DNSSEC y claves empleadas en los certificados X.509 y claves de sesión empleadas en conexiones SSL/TLS. Las claves generadas con GnuPG o GNUTLS no se han visto afectadas.

Además de corregir la vulnerabilidad crítica (CVE-2008-0166), el paquete openssl actualizado también corrige otros 2 errores: La implementación DTLS de OpenSSL (Datagrama TLS, básicamente "SSL sobre UDP") en realidad no sigue la especificación DTLS y contiene una vulnerabilidad de ejecución de código arbitrario (CVE-2007-4995). También se ha reparado un ataque "side-channel" en las rutinas de multiplicación de enteros (CVE-2007-3108).

Se recomienda actualizar el paquete openssl y a continuación volver a generar de nuevo todas las claves criptográficas creadas con versiones de OpenSSL a partir de la 0.9.8c-1.

CVE-2008-0166
CVE-2007-4995
CVE-2007-3108

Avisos de seguridad de Debian y Ubuntu
http://www.ubuntu.com/usn/usn-612-1
http://www.debian.org/security/2008/dsa-1571

Fuente:  Debian www.debian.org