Vulnerabilidad en generador de números aleatorios en SO basados en Debian en OpenSSL. (CVE-2008-0166)
Tipo:
Errores criptográficos
Gravedad:
Alta
Fecha publicación :
13/05/2008
Última modificación:
02/02/2022
Descripción
OpenSSL versión 0.9.8c-1 hasta versiones anteriores a 0.9.8g-9, sobre sistemas operativos basados en Debian usa un generador de números aleatorios que genera números predecibles, lo que facilita a atacantes remotos la conducción de ataques de adivinación por fuerza bruta contra claves criptográficas.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + Compromiso total de la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
- cpe:2.3:o:canonical:ubuntu_linux:7.10:*:*:*:*:*:*:*
- cpe:2.3:o:canonical:ubuntu_linux:7.04:*:*:*:*:*:*:*
- cpe:2.3:a:openssl:openssl:0.9.8d:*:*:*:*:*:*:*
- cpe:2.3:a:openssl:openssl:0.9.8c-1:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- DSA-1571 (Origen: DEBIAN)
- USN-612-1 (Origen: UBUNTU)
- USN-612-2 (Origen: UBUNTU)
- 29179 (Origen: BID)
- http://metasploit.com/users/hdm/tools/debian-openssl/ (Origen: MISC)
- DSA-1576 (Origen: DEBIAN)
- USN-612-3 (Origen: UBUNTU)
- USN-612-4 (Origen: UBUNTU)
- USN-612-7 (Origen: UBUNTU)
- VU#925211 (Origen: CERT-VN)
- 1020017 (Origen: SECTRACK)
- 30220 (Origen: SECUNIA)
- 30221 (Origen: SECUNIA)
- 30231 (Origen: SECUNIA)
- 30239 (Origen: SECUNIA)
- 30249 (Origen: SECUNIA)
- 30136 (Origen: SECUNIA)
- [rsyncrypto-devel] 20080523 Advisory - Rsyncrypto maybe affected from Debian OpenSSL reduced entropy problem (Origen: MLIST)
- TA08-137A (Origen: CERT)
- openssl-rng-weak-security(42375) (Origen: XF)
- 5720 (Origen: EXPLOIT-DB)
- 5632 (Origen: EXPLOIT-DB)
- 5622 (Origen: EXPLOIT-DB)
- 20080515 Debian generated SSH-Keys working exploit (Origen: BUGTRAQ)