Gecen haftanin en onemli olaylarindan (Bilisim dunyasi icin)Debian Linux sistemlerde cikan “openssl — predictable random number generator“zaafiyeti idi. Problem OpenSSL’in debiana aktarilirken hata ureten bir fonksiyondaki bazi satirlarin cikarilmasindan kaynaklaniyor ki o satirlarin onemi yillar once OpenSSL tarafindan onemle belirtilmis.
md_rand.c dosyasindaki ilgili satirlar kaldirildiginda OpenSSL’in PRNG si random olmaktan cikip kolaylikla uretilebilir bir hale donuyor.(Randomize olarak o anki proses id’sine bakiliyor, Linux sistemlerde on tanimli proses id’si ~32000 oldugu dusunulurse cok rahatlikla bu kadar sayi denenerek uretilen keyler tekrarlanabilir).
Uzmanlar Debian ve Debian tabaninin kullanan sistemlerin acilen 2006(Eylul ayi) yili ile 2008 yili arasinda urettikleri sertifika, SSH key ve benzeri OpenSSL kullanan uygulama ciktilarinin tekrar uretilmesi gerektigini belirtiyor.
Simdiden internette bu zaafiyetin nasil kotuye kullanilacagini anlatan dokumanlar, hazir scriptler ve bruteforce da kullanilabilecek keyler dolasmaya basladi. Debian Linux kullananlarin dikkatine.
Kaynaklar:
http://lists.debian.org/debian-security-announce/2008/msg00152.html
http://metasploit.com/users/hdm/tools/debian-openssl/
