Vulnerabilidad Debian OpenSSL

13 De Mayo Del 2008

En Mayo 13 del 2008, el proyecto Debian, anunció que una actualización al paquete Debian's OpenSSL en 2006 contiene una vulnerabilidad que puede debilitar el número de sistema generador aleatorio, haciendo predecible la autenticidad del encriptado SSH y SSL.

Parchando A Debian & Utilización De Emisión De Seguro

La vulnerabilidad es específica para Debian, no afecta a otros sistemas operativos que no sean Debian. De todos modos un sistema que no sea Debian podría ser afectado si están utilizando llaves criptográficas de un un sistema Debian afectado.

Debian ha hecho un parche disponible, sin embargo el parche solamente es capaz de prevenir la vulnerabilidad en adelante y no remueve lo que ocurrió anteriormente. Por lo tanto, para esos sistemas Debian, empezando con versión 0.9.ec-1, es altamente recomendable, recrear desde el principio cualquier material de llave criptográfica, que ha sido generada con OpenSSL. Para información adicional de la vulnerabilidad y acerca del parche, por favor vea el siguiente aviso de seguridad de Debian DSA-1571-1.

Para corregir este problema, siga estos pasos :

1. Descargue e instale el parche Debian proporcionado en el manual de seguridad Debian DSA-1571-1.

2. Reemplace todos los Certificados SSL afectados. GeoTrust® está proporcionando Certificados SSL revocados y reemplazando los mismos por un tiempo limitado y sin costo para esos clientes afectados de GeoTrust® por esta vulnerabilidad. Al generar el nuevo Certificado De Firma Solicitada, es importante asegurarse que la información del certificado (Distinguiendo Nombres) sea idéntica a la información existente del certificado.

3. Si usted tiene un Certificado SSL RapidSSL®, GeoTrust® o Thawte® por favor visite la página web de GeoTrust, haciendo un Clic Aquí para utilizar Emisión De Seguro sin costo alguno.

4. Si no sabe o está inseguro de haber sido afectado, Haga Clic Aquí para utilizar la llave detectora de debilidad publicado por Debian.

Nota : La Emisión de seguro gratis, será solamente concedido a clientes afectados.