Security Lab

Обход ограничений безопасности в Debian Linux и Ubuntu

Дата публикации:14.05.2008
Дата изменения:02.06.2008
Всего просмотров:5233
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2008-0166
CVE-2007-3108
CVE-2007-4995
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Debian GNU/Linux 4.0
Debian GNU/Linux unstable alias sid
Ubuntu Linux 7.04
Ubuntu Linux 7.10
Ubuntu Linux 8.04
Уязвимые версии:
Debian Linux 4.0
Ubuntu 7.04 (Feisty)
Ubuntu 7.10 (Gutsy)
Ubuntu 8.04 LTS (Hardy)

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за того, что Openssl использует предсказуемый генератор случайных чисел при создании ключей. Удаленный пользователь может получить доступ к зашифрованным данным.

Решение: Установите исправление с сайта производителя.

Журнал изменений:

15.05.2008
Добавлен PoC код. 02.06.2008
Добавлен PoC код.

Ссылки: [DSA 1571-1] New openssl packages fix predictable random number generator
Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit
Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit (ruby)
Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit (Python)