abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Android 16
    včera 22:33 | Nová verze

    Oficiálně byl vydán Android 16. Detaily na blogu a stránkách věnovaných vývojářům.

    Ladislav Hagara | Komentářů: 1
    FreeBSD 14.3
    včera 14:33 | Nová verze

    Byla vydána nová verze 14.3 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Veškeré konverzace uživatelů s ChatGPT budou uchovávány. Včetně těch smazaných
    včera 14:00 | Upozornění

    CSIRT.CZ upozorňuje, že na základě rozhodnutí federálního soudu ve Spojených státech budou veškeré konverzace uživatelů s ChatGPT uchovávány. Včetně těch smazaných.

    Ladislav Hagara | Komentářů: 8
    Virtuální Bastlírna vol. 51: česká open source LoRa meteostanice
    včera 13:44 | Pozvánky

    Ač semestr ve škole právě končí, bastlíři ze studentského klubu Silicon Hill neodpočívají a opět se jako každý měsíc hlásí s pravidelným bastlířským setkáním Virtuální Bastlírna, kde si můžete s ostatními techniky popovídat jako u piva o novinkách, o elektronice, softwaru, vědě, technice obecně, ale také o bizarních tématech, která se za poslední měsíc na internetu vyskytla.

    Z novinek za zmínku stojí Maker Faire, kde Pájeníčko předvedlo … více »
    bkralik | Komentářů: 0
    Containerization a container, linuxové kontejnery na macOS
    včera 04:44 | Zajímavý software

    Na WWDC25 byl představen balíček Containerization a nástroj container pro spouštění linuxových kontejnerů na macOS. Jedná se o open source software pod licencí Apache 2.0 napsaný v programovacím jazyce Swift.

    Ladislav Hagara | Komentářů: 1
    Festival Steam Next | červen 2025
    včera 02:00 | IT novinky

    Do 16. června do 19:00 běží na Steamu přehlídka nadcházejících her Festival Steam Next | červen 2025 doplněná demoverzemi, přenosy a dalšími aktivitami. Demoverze lze hrát zdarma.

    Ladislav Hagara | Komentářů: 0
    WWDC25
    9.6. 21:44 | IT novinky

    Apple na své vývojářské konferenci WWDC25 (Worldwide Developers Conference, keynote) představil řadu novinek: designový materiál Liquid Glass, iOS 26, iPadOS 26, macOS Tahoe 26, watchOS 26, visionOS 26, tvOS 26, nové funkce Apple Intelligence, …

    Ladislav Hagara | Komentářů: 1
    Přihlašování přednášek na LinuxDays 2025
    9.6. 20:44 | Komunita

    Organizátoři konference LinuxDays 2025, jež proběhne o víkendu 4. a 5. října 2025 v Praze na FIT ČVUT, spustili přihlašování přednášek (do 31. srpna) a sběr námětů na zlepšení.

    Ladislav Hagara | Komentářů: 0
    SMPlayer 25.6.0
    9.6. 19:11 | Nová verze

    Po roce byla vydána nová stabilní verze 25.6.0 svobodného multiplatformního multimediálního přehrávače SMPlayer (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    DNS4EU v testovacím režimu
    9.6. 12:55 | IT novinky

    DNS4EU, tj. evropská infrastruktura služeb DNS založená na vysoce federovaném a distribuovaném ochranném ekosystému, byla spuštěna v testovacím režimu [𝕏]. Na výběr je 5 možností filtrování DNS.

    Ladislav Hagara | Komentářů: 20
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (32%)
     (7%)
     (2%)
     (0%)
     (0%)
     (3%)
    Celkem 242 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    alblaho - alblog
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / alblog / Ani zbla / V Debianu rozbili OpenSSL
    Štítky: Debian, distribuce, Gentoo, Internet, Linux, OpenVPN, opravy, Ubuntu, VPN

    V Debianu rozbili OpenSSL

    14.5.2008 23:00 | Přečteno: 1807× | Ani zbla | poslední úprava: 14.5.2008 23:32

    Dnes ráno přišel na mé Ubuntu update balíčku openssl. V komentáři psali, že některé vygenerované klíče můžou být napadnutelné kvůli tomu, že mohly být vytvořené rozbitým generátorem náhodných čísel. Večer jsem se chtěl připojit k firemní VPN, ale nepovedlo se - openvpn zahlásilo, že klíče můžou být kompromitované a konec. WTF?

    No a ten zmiňovaný update obsahuje kromě opravy i nástroj, který umí zjistit, jestli je daný klíč vygenerovaný správně nebo špatně. A můj klíč do firemní VPN neprošel.

    Chyba se týká Debianu a odvozených dister. Nepříjemné je to v tom, že vznikla v unstablu v září 2006, takže od té doby prosákla i do stablu a všech možných Ubuntu. Naštěstí jsem zastihl admina a ten mi na svém Gentoo vygeneroval nový :-).

    http://article.gmane.org/gmane.linux.debian.security.announce/1614        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    14.5.2008 23:12 laco
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Jo, jo, už se o tom píše skoro všude...
    14.5.2008 23:14 R
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Je to pruser ako svina, v skoro celej firme teraz menit kluce...
    pele avatar 14.5.2008 23:19 pele | skóre: 28 | blog: Bleabr | UH
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    jj humus, ale pojed to tim perlovskym skriptem, treba nebudou vsechny "weak"
    Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.
    15.5.2008 10:37 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    To nestačí, v podstatě všechny DSA klíče, které byly použity proti OpenSSL s tímto problémem, můžou být odhaleny kýmkoliv, kdo má přístup k zašifrovaným datům. Stačí vyzkoušet 2^15 (nebo 2^17 pokud nevíme jaký používal procesor) kombinací.
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    15.5.2008 21:02 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Mas nejak podporene toto tvrzeni? AFAIK jde pouze o klice generovane rozbitym OpenSSL.
    16.5.2008 00:37 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Bohužel nejde, DSA je prostě z tohoto pohledu blbě navržené. Stačí tohle? Teď na podrobnější vysvětlování nemám náladu :-).

    Koneckonců i v tom bezpečnostním oznámení je to napsáno:
    Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    18.5.2008 21:00 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised

    To je ovšem podstatně slabší, než co tvrdíte vy. Že je problém s klíči použitými na chybujícím systému, tomu nemám problém věřit. Ale pokud by měl být problém i s klíči použitými proti takovému systému, znamenalo by to, že DSA už je navěky ztraceno - co by bránilo útočníkovi nainstalovat si Debian s tou chybou?

    18.5.2008 21:50 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Uznávám, napsal jsem to blbě.

    Nicméně stejně DSA v podstatě nemá smysl používat (od té doby co vypršely patenty na RSA).
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    21.5.2008 22:04 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Téhle úvaze nerozumím. Protože algoritmus A není zatížen patenty, nemá smysl používat algoritmus B sloužící ke stejnému účelu? Podle stejné logiky nemá smysl používat RSA, když DSA není zatížena patenty…
    21.5.2008 22:24 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Ta logika je spíš taková, že DSA mělo smysl používat když RSA bylo zatíženo patenty a tudíž ve mnoha distribucích nebylo podporováno. DSA je z principu mnohem více náchylné na útoky, kdy někdo může uhodnout jak se bude chovat generátor náhodných čísel (což je přesně to co se teď stalo), kdežto RSA žádnou takovouhle principiální slabinu nemá (nebo se o ní zatím neví :-)).
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    15.5.2008 13:29 zelial | skóre: 21
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH 
    usage: ./dowkd.pl [OPTIONS...] COMMAND [ARGUMENTS...]

COMMAND is one of:

  file: examine files on the command line for weak keys
  host: examine the specified hosts for weak SSH keys
  user: examine user SSH keys for weakness; examine all users if no
        users are given
  help: show this help screen

OPTIONS is one pf:

  -c FILE: set the database cache file name (default: dowkd.db)

dowkd currently handles OpenSSH host and user keys and OpenVPN shared
secrets, as long as they use default key lengths and have been created
on a little-endian architecture (such as i386 or amd64).  Note that
the blacklist by dowkd may be incomplete; it is only intended as a
quick check.
    14.5.2008 23:14 Douglish | skóre: 9 | blog: mind_dump
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Asi jsi chtel napsal OpenSSL a ne OpenSSH, ne? Krom toho, zminka o tom tady jiz byla jak na abclinuxu tak na rootu.
    alblaho avatar 14.5.2008 23:32 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Já idiot. Jasně, dík.
    15.5.2008 09:49 MJ | Tady a teď
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSH
    Ne, opravdu OpenSSL. OpenSSH tuto knihovnu používá pro kryptografická primitiva a mimo jiné také pro generování náhodných čísel.
    Bluebear avatar 15.5.2008 00:44 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Mno jo... to se prostě občas stane, chyba se prevít vloudí. Neměj jim to za zlé.

    Jak říká jeden z mých přátel, "stane se i střízlivému" :-)
    To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
    15.5.2008 00:59 Laoc
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Chyby z vlastních řad se vždy omlouvají s lehkým srdcem...
    „Proč musíme všichni do nekonečna trpět, copak nesmíme znát pravdu?“ „Jakou pravdu?
    15.5.2008 10:21 skonciljsem | skóre: 20
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Chyby z vlastních řad?
    15.5.2008 16:17 Laoc
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Ano, chyby z vlastních linuxových řad.
    „Proč musíme všichni do nekonečna trpět, copak nesmíme znát pravdu?“ „Jakou pravdu?
    Bluebear avatar 15.5.2008 12:08 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Jaképak vlastní řady, já patřím ke klanu zelených ještěrek! :-)
    To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...
    15.5.2008 16:18 Laoc
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Já vím, přesto ale máte s Debianem velmi mnoho společného...
    „Proč musíme všichni do nekonečna trpět, copak nesmíme znát pravdu?“ „Jakou pravdu?
    belisarivs avatar 15.5.2008 17:50 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Ty tedy musis byt dokonalost sama.
    IRC is just multiplayer notepad.
    15.5.2008 23:47 Laoc
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Filosofové měli k dokonalosti vždy blíže než generálové, milý Belisarie.
    „Proč musíme všichni do nekonečna trpět, copak nesmíme znát pravdu?“ „Jakou pravdu?
    belisarivs avatar 16.5.2008 12:55 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Ne, pouze o tom umeli lepe presvedcovat.
    IRC is just multiplayer notepad.
    15.5.2008 01:07 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    No ono jim nejde mít za zlé, že se spletli. Jediné co jim můžu zazlívat (a taky to dělám) je to, že patchují bez spolupráce s upstreamem tak důležité součásti jako jsou šifrovací nástroje a knihovny.
    alblaho avatar 15.5.2008 01:37 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Já se přidávám. Prostě kryptografie není žádná prdel a kdo si není absolutně jistý tím, co dělá, měl by se držet zpět. Debianu v podstatě vděčím za všechno mí Linuxové existování, ale tohle se tedy hrubě nepovedlo.
    15.5.2008 07:40 Jan Zapletal
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Já bych ohledně spolupráce s upstreamem nebyl tak příkrý. Podle tohoto pohledu to vypadá trošku jinak.
    alblaho avatar 15.5.2008 09:04 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    No jo, kdyby byl ten upstream code okomentovaný, tohle by se nemuselo stát.

    "The problem is that in the same file, in another function all other sources of entropy were being merged into the pool of randomness using exactly the same code line as the one code line flagged by Valgrind."
    15.5.2008 09:09 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL 
    MD_Update(&m,buf,j);
    To jsou ty popisné identifikátory…
    Ještě na tom nejsem tak špatně, abych četl Viewegha.
    15.5.2008 09:54 MJ | Tady a teď
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Když se to vytrhne z kontextu o něco méně :), je docela srozumitelné, co kód dělá. Upstream bych z toho vážně nevinil, tohle opravdu padá celé na hlavu distribučního maintainera.
    15.5.2008 09:51 MJ | Tady a teď
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Pokud vím, bylo to takto: funkce pro inicializaci entropy poolu dostala buffer konstantní velikosti, do kterého volající uložil náhodné bity. V některých případech ovšem nevyplnil buffer celý, takže Valgrind varoval, že se přistupuje k neinicializovaným datům (zbytek bufferu). Maintainer na to reagoval tím, že zpracování celého bufferu zakomentoval. Ehm.
    15.5.2008 10:42 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Je to jinak :-). V tom kódu bylo dvakrát MD_Update(&m,buf,j);, které aktualizuje náhodný pool bufferem. Poprvé se to provede z bufferu, který vypadnul z mallocu a to způsobí warningy ve valgrindu. Podruhé až když je ten buffer naplněn daty z /dev/urandom. Problém je v tom, že ten patch odstranil obě tyto volání, a ne jen to první. O přehlednosti a dokumentovanosti kódu OpenSSL se radši vyjadřovat nebudu :-).
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    belisarivs avatar 15.5.2008 09:20 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Souhlas.

    Tohle je IMHO dobry nazor:

    If you consider a distribution as something more than a big chaotic bunch of packages, you’ll have to make some distro-specific patches to make the whole distribution consistent. In the Games Team we have to really patch some games a lot to make them just usable. We’re far ahead of Slackware in any case, so why try to go back to the past? Most of the patches provided by Debian improve, stabilize and integrate the programs. The fact that there might be an error once in a while doesn’t contradict that, and in fact we’re correcting much more errors than the ones we might be creating, as unfortunate as they might be, like in this case.

    Je to reakce na navrh, pouzivat pouze pokud mozno nepatchovane programy a patche posilat nejdriv do upstramu jak to pry dela Slackware.
    IRC is just multiplayer notepad.
    alblaho avatar 15.5.2008 11:01 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Na tom, že patchuje není nic špatného. Pokud jde o hry, tak ať si s tím, pro-pána-jána dělají co chtějí, kdyžtak spadne nějaká, no. Ale u takových kritických věcí by měli být ultrakonzervativní.

    No stane se. Už jsem určitě vyrobil horší chyby, jen nejsem maintanerem superdůležitého balíku superpopulární distribuce :-)
    15.5.2008 11:13 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Šetřil bych s těmi superlativy. :-)
    belisarivs avatar 15.5.2008 11:50 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Ja pro setreni nevidim duvod. ;-)
    IRC is just multiplayer notepad.
    alblaho avatar 15.5.2008 12:23 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Že jo. Výsledky distribuční ankety dopadnou tak, že hodně velká část strojů bude debian-based a všechny tyto stroje mají tenhle balík v základní instalaci.

    On totiž Debian je superoblíbený hlavně pro forkování :-)
    15.5.2008 12:41 Michal Kubeček | skóre: 72 | Luštěnice
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Výsledky distribuční ankety dopadnou tak, že…

    Paranoik by si asi položil otázku, jak to můžete takhle předem vědět. :-)

    15.5.2008 12:46 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    :D
    belisarivs avatar 15.5.2008 13:37 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    To je dano jeho urcenim a celkovou kvalitou.

    Je to super OS, s paradnim systemem spravy balicku a systemu celkove a dalsim, ale neni orientovany na zacatecnikuv desktop.

    No, a ty distribuce proste tezi z jeho vyhod a jeste jej zpristupnuji zelenacum.
    IRC is just multiplayer notepad.
    belisarivs avatar 15.5.2008 13:41 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Tim nechci rici, ze by Ubuntu a podobne nemely na sve popularite zadnou zasluhu. Ale proste ten vliv Debianu je v systemu videt.

    Ja casto a rad treba zabrousim do /usr/share/doc kde se da csto najit nejaky ten "debian.howto" apod. coz jsou jednoduche step by step navody.

    Fakt parada.
    IRC is just multiplayer notepad.
    15.5.2008 10:38 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    No ono to tak jednoduché není. Ten patch byl poslán na OpenSSL mailing list, pár lidí k němu cosi řeklo, ale nikdo, že by to bylo špatně. Problém je, že tohle se děje s většinou patchů co se do OpenSSL pošlou :-).
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    15.5.2008 10:48 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    Jinak tady je diskuze o té změně.
    Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
    15.5.2008 09:51 Robo
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    jj, to nasere
    15.5.2008 19:47 spectrum | skóre: 29 | blog: spectrumblog
    Rozbalit Rozbalit vše Re: V Debianu rozbili OpenSSL
    No a? Já bych OpenSSL rozbít neuměl... :-) Ano, Debian je moje distribuce číslo jedna. ;-)
    16.5.2008 15:18 MJ | Tady a teď
    Rozbalit Rozbalit vše Checker
    Napsal jsem skriptík kontrolující slabé klíče, který má o něco větší pokrytí než defaultní databáze debianího ssh-vulnkeys. Třeba se vám také bude hodit.

    Pokrývá DSA 1024, RSA 1023-1024, RSA 2047-2048 a využívá data z projektu Metasploit.

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.