debian和ubuntu的openssl包报出严重漏洞

[bones7456]

来源: http://www.debian.org/security/2008/dsa-1571
这一漏洞影响debian,基于它的ubuntu同样牵连. SSL/SSH密钥可被猜解
这一安全提示用户采取一些措施让基于Debian的系统免于密码猜解,官方还公布了一些缺陷密钥细节,并建议OpenSSL 0.9.8c-1之后版本的用户重算加密体系.

目前ubuntu官方源已经有openssl的更新包了,建议大家更新至 0.9.8g-4ubuntu3.1

[sonixrp]

经典哦

[woaiwojia]

今天不是更新了？
呵呵

[bones7456]

是的,今天已经有更新了, openssh-client 和 openssh-server 都有更新, 还新增了一个 openssh-blacklist 的包.

[skyx]

更新就是快。

更新就是重要。

不更新 被compromised的，真的只能怪自己。

[meteormatt]

来源: http://www.debian.org/security/2008/dsa-1571
这一漏洞影响debian,基于它的ubuntu同样牵连. SSL/SSH密钥可被猜解
这一安全提示用户采取一些措施让基于Debian的系统免于密码猜解,官方还公布了一些缺陷密钥细节,并建议OpenSSL 0.9.8c-1之后版本的用户重算加密体系.

目前ubuntu官方源已经有openssl的更新包了,建议大家更新至 0.9.8g-4ubuntu3.1

我的163邮箱都收到了.而且和Tor都有关系.囧
SUMMARY:
This is a critical security announcement.

A bug in the Debian GNU/Linux distribution's OpenSSL package was
announced today. This bug would allow an attacker to figure out private
keys generated by these buggy versions of the OpenSSL library. Thus,
all private keys generated by affected versions of OpenSSL must be
considered to be compromised.

囗囗囗 uses OpenSSL, so 囗囗囗 users and admins need to take action in order
to remain secure in response to this problem.

If you are running Debian, Ubuntu, or any Debian-based GNU/Linux
distribution, first follow the instructions at
http://lists.debian.org/debian-security ... 00152.html
to upgrade your OpenSSL package to a safe version. If you're running a
囗囗囗 server or a 囗囗囗 hidden service, then also follow the instructions
below to replace your 囗囗囗 identity keys.

Also, if you are running 囗囗囗 0.2.0.x, you must upgrade to 囗囗囗
0.2.0.26-rc.

[bones7456]

又有几个升级的包了,汗...好像被搞得措手不及了...

[skyx]

又有几个升级的包了,汗...好像被搞得措手不及了...

级别非常高的安全问题，所涉及的邮件列表好像只有相关高层可见

我们能看到的列表，都是些级别不高的。

前几天还粗略地看了一下debian的deb数字签名策略，感觉无懈可击。

没想到ssh却出问题了。

[caijiamx]

这个
会解决的

[chinaplayer]

查看版本在新立德软件管理器搜索关键字即可

[hacker]

ubuntu也有漏洞。。。