debian和ubuntu的openssl包报出严重漏洞

最新ubuntu/linux/开源新闻或者其它IT相关资讯
回复
头像
bones7456
论坛版主
帖子: 8495
注册时间: 2006-04-12 20:05
来自: 杭州
送出感谢: 0
接收感谢: 8 次
联系:

debian和ubuntu的openssl包报出严重漏洞

#1

帖子 bones7456 » 2008-05-14 8:48

来源: http://www.debian.org/security/2008/dsa-1571
这一漏洞影响debian,基于它的ubuntu同样牵连. SSL/SSH密钥可被猜解
这一安全提示用户采取一些措施让基于Debian的系统免于密码猜解,官方还公布了一些缺陷密钥细节,并建议OpenSSL 0.9.8c-1之后版本的用户重算加密体系.

目前ubuntu官方源已经有openssl的更新包了,建议大家更新至 0.9.8g-4ubuntu3.1
关注我的blog: ε==3
头像
sonixrp
帖子: 505
注册时间: 2007-03-28 12:39
送出感谢: 0
接收感谢: 0
联系:

#2

帖子 sonixrp » 2008-05-14 8:56

经典哦
目前研究自编译内核,有兴趣的朋友一起来吧~
头像
woaiwojia
帖子: 1353
注册时间: 2007-09-10 20:20
系统: Debian
来自: 南京
送出感谢: 0
接收感谢: 0

#3

帖子 woaiwojia » 2008-05-14 8:57

今天不是更新了?
呵呵
头像
bones7456
论坛版主
帖子: 8495
注册时间: 2006-04-12 20:05
来自: 杭州
送出感谢: 0
接收感谢: 8 次
联系:

#4

帖子 bones7456 » 2008-05-14 9:37

是的,今天已经有更新了, openssh-client 和 openssh-server 都有更新, 还新增了一个 openssh-blacklist 的包.
关注我的blog: ε==3
头像
skyx
论坛版主
帖子: 9203
注册时间: 2006-12-23 13:46
来自: Azores Islands
送出感谢: 0
接收感谢: 1 次
联系:

#5

帖子 skyx » 2008-05-14 10:45

:shock:

更新就是快。

更新就是重要。

不更新 被compromised的,真的只能怪自己。
no security measure is worth anything if an attacker has physical access to the machine
头像
meteormatt
帖子: 693
注册时间: 2008-02-24 14:15
系统: Ubuntu
来自: 江苏
送出感谢: 17 次
接收感谢: 0
联系:

Re: debian和ubuntu的openssl包报出严重漏洞

#6

帖子 meteormatt » 2008-05-14 17:57

bones7456 写了:来源: http://www.debian.org/security/2008/dsa-1571
这一漏洞影响debian,基于它的ubuntu同样牵连. SSL/SSH密钥可被猜解
这一安全提示用户采取一些措施让基于Debian的系统免于密码猜解,官方还公布了一些缺陷密钥细节,并建议OpenSSL 0.9.8c-1之后版本的用户重算加密体系.

目前ubuntu官方源已经有openssl的更新包了,建议大家更新至 0.9.8g-4ubuntu3.1
我的163邮箱都收到了.而且和Tor都有关系.囧
SUMMARY:
This is a critical security announcement.

A bug in the Debian GNU/Linux distribution's OpenSSL package was
announced today. This bug would allow an attacker to figure out private
keys generated by these buggy versions of the OpenSSL library. Thus,
all private keys generated by affected versions of OpenSSL must be
considered to be compromised.

囗囗囗 uses OpenSSL, so 囗囗囗 users and admins need to take action in order
to remain secure in response to this problem.

If you are running Debian, Ubuntu, or any Debian-based GNU/Linux
distribution, first follow the instructions at
http://lists.debian.org/debian-security ... 00152.html
to upgrade your OpenSSL package to a safe version. If you're running a
囗囗囗 server or a 囗囗囗 hidden service, then also follow the instructions
below to replace your 囗囗囗 identity keys.

Also, if you are running 囗囗囗 0.2.0.x, you must upgrade to 囗囗囗
0.2.0.26-rc.

怀念以前的老台式机。可惜现在租的地方没条件用了。目前只能用笔记本和手机了。
头像
bones7456
论坛版主
帖子: 8495
注册时间: 2006-04-12 20:05
来自: 杭州
送出感谢: 0
接收感谢: 8 次
联系:

#7

帖子 bones7456 » 2008-05-15 8:42

又有几个升级的包了,汗...好像被搞得措手不及了...
关注我的blog: ε==3
头像
skyx
论坛版主
帖子: 9203
注册时间: 2006-12-23 13:46
来自: Azores Islands
送出感谢: 0
接收感谢: 1 次
联系:

#8

帖子 skyx » 2008-05-15 8:56

bones7456 写了:又有几个升级的包了,汗...好像被搞得措手不及了...
级别非常高的安全问题,所涉及的邮件列表好像只有相关高层可见

我们能看到的列表,都是些级别不高的。

前几天还粗略地看了一下debian的deb数字签名策略,感觉无懈可击。

没想到ssh却出问题了。
:shock:
no security measure is worth anything if an attacker has physical access to the machine
头像
caijiamx
帖子: 86
注册时间: 2008-03-28 19:20
送出感谢: 0
接收感谢: 0
联系:

#9

帖子 caijiamx » 2008-05-15 17:28

这个
会解决的 :P :P :P :P
chinaplayer
帖子: 25
注册时间: 2008-10-18 14:11
送出感谢: 0
接收感谢: 0
联系:

Re: debian和ubuntu的openssl包报出严重漏洞

#10

帖子 chinaplayer » 2008-11-14 18:17

查看版本在新立德软件管理器搜索关键字即可 :em11
头像
hacker
帖子: 9
注册时间: 2008-10-13 22:29
送出感谢: 0
接收感谢: 0

Re: debian和ubuntu的openssl包报出严重漏洞

#11

帖子 hacker » 2008-11-21 10:07

ubuntu也有漏洞。。。
卑鄙是卑鄙者的通行证,
高尚是高尚者的墓志铭。
回复

回到 “新闻和通知”