Error crítico en NetBSD 6.0 al generar las claves de SSH/SSL
NetBSD ha advertido de un error en su sistema operativo de código abierto, el cual crea claves criptográficas débiles que podrían ser rotas por los atacantes. Las conexión SSH y SSL utilizan claves dudosas que podrían ser utilizadas para interceptar comunicaciones fácilmente.
El generador de números pseudo-aleatorios (PRNG) de NetBSD 6.0.1 permite generar claves débiles y potencialmente predecibles. Las versiones de NetBSD anteriores al 26 de enero 2013 se ven afectadas y deben actualizarse a 6.1. Las versiones de NetBSD 5.1 y 5.2 no sufren del error, si bien ya no tienen soporte.
Existen muchos tipos de claves criptográficas (incluyendo SSH y claves de sesión SSL) que pueden ser débiles debido a un error de validación de tamaño que produce que los datos no sean suficientemente aleatorios.
A los administradores se aconseja actualizar y luego a generar nuevas claves, tal y como se explica en el aviso de NetBSD.
"Todas las claves de host SSH son sospechosas ya que los sistemas podrían haber tenido la entropía insuficiente a la hora de generar las claves, por lo que debe ser regeneradas", explican desde NetBSD.
La primera versión de este documento informativo se publicó el mes pasado y llamó la atención de varios expertos en criptografía.
Cristian de la Redacción de Segu-Info
El generador de números pseudo-aleatorios (PRNG) de NetBSD 6.0.1 permite generar claves débiles y potencialmente predecibles. Las versiones de NetBSD anteriores al 26 de enero 2013 se ven afectadas y deben actualizarse a 6.1. Las versiones de NetBSD 5.1 y 5.2 no sufren del error, si bien ya no tienen soporte.
Existen muchos tipos de claves criptográficas (incluyendo SSH y claves de sesión SSL) que pueden ser débiles debido a un error de validación de tamaño que produce que los datos no sean suficientemente aleatorios.
A los administradores se aconseja actualizar y luego a generar nuevas claves, tal y como se explica en el aviso de NetBSD.
"Todas las claves de host SSH son sospechosas ya que los sistemas podrían haber tenido la entropía insuficiente a la hora de generar las claves, por lo que debe ser regeneradas", explican desde NetBSD.
La primera versión de este documento informativo se publicó el mes pasado y llamó la atención de varios expertos en criptografía.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!