Ser ut til at SSL/SSH på Debian og derivater (som Ubuntu) har et problem. I 2006 deaktiverte en utvikler i praksis funksjonen for å lage tilfeldige tall. Følgelig er alle nøkler laget på et Debian-baserte systemer gjettbare, og må regenereres.
Kilde: http://it.slashdot.org/it/08/05/13/1533212.shtml
--
Redaksjonell kommentar: Vanlig systemoppdatering løser problemet både på Debian og Ubuntu. Dessverre betyr dette at dersom noen tidligere har sniffet dine pakker, og tatt vare på de, kan de nå dekryptere dette innholdet. Hvis du er bekymret for dette bør du ihvertfall bytte passord, og vurdere hvilken annen informasjon som har gått gjennom systemet.
adder1972 15. mai 2008 - 9:07
Alvorlig problem - grei fiks
johnm76 15. mai 2008 - 17:53
La så vidt merke til ssl/ssh rulle forbi i terminalvinduet da jeg gjorde en oppdatering tidligere idag. Er det denne feilen du sikter til?
Og vil en fortsatt måtte bytte passord for å løse evnt. problem med tidligere sniffede pakker?
For min del er det ikke noe problem -- tidligere paranoide arbeidsgivere har ført til at jeg synes det er den naturligste ting i verden å skifte passord en gang i uken ;)
KMJ 15. mai 2008 - 18:14
Nå er ikke løsningen så enkel som en oppgradering. I tilleg må ALLE nøkler som er generert med denne feilen lages på nytt. Så for enkelte brukere kan det bli ganske mye jobb.
Sikkerhetsimplikasjonene er også ganske drøye. Siden stort sett alle de store FLOSS prosjektene bruker SVN/CVS med nøkler. Vil det si at kontoene til alle utviklere som bruker Debian/Ubuntu, og har fått skrivetilgang i den aktuelle perioden er utsatt.