Para los que no lo sepáis, en el 2006 a alguien de Debian se le ocurrió eliminar una linea de código del OpenSSL para evitar los avisos incómodos que se producían al utilizar herramientas de depuración de código.
El tema es que esa linea era la que se encargaba de asegurar la calidad de la siembra del generador pseudoaleatorio que utiliza varios criterios y paso a utilizar el identificador de proceso del sistema (PID) como único criterio, reduciendo el espacio de claves de 2^1024 a 2^15, exactamente 32768.
El problema es que no vale solo con actualizar los paquetes, ya disponibles, pues aquellas claves/llaves generadas despues del 2006 han sufrido la vulnerabilidad y son previsibles. Tened en cuenta que uno de los principales usos de este paquete es la generación de las claves para los servidores SSH lo cual deja a muchas máquinas vulnerables. Como se comentaba en un blog… “os podéis imaginar la cantidad de servidores en el mundo del tipo ‘instalar y olvidar‘” ?
Para ser prácticos, aquí dejo instrucciones para actualizar las claves SSH:
Actualizamos el sistema:
$ sudo apt-get update
$ sudo apt-get upgrade
y regeneramos las claves del servidor SSH:
$ sudo rm /etc/ssh/ssh_host_{dsa,rsa}_key*
$ sudo dpkg-reconfigure -plow openssh-server
Listo.
Cuando os volváis a conectar a vuestro servidor SSH seguramente vuestro cliente SSH se quejará de que la claves han sido modificadas por lo que los usuarios Linux tenemos que acordarnos de limpiar el fichero ~/.ssh/known_hosts donde se guardan las claves de los servidores SSH.
Leave a Reply