HSC : Vulnérabilité critique dans le générateur de nombres pseudo-aléatoires de OpenSSL sur Debian et Ubuntu
mai 2008 par HSC
Date : 14-05-2008
Criticité HSC : 5/5 - extreme
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Depuis le 17 septembre 2006, le moteur de génération de nombres pseudo-aléatoires de Debian et Ubuntu est prédictible.
Source : Debian-Security
Objet : Linux Debian, Linux Ubuntu
Description :
Le 17 septembre 2006, la version de OpenSSL 0.9.8c-1 a été diffusée,
dans Debian, Ubuntu et leurs dérivées, avec une modification rendant le
moteur de génération de nombres pseudo-aléatoires de OpenSSL
parfaitement prédictible.
Les clefs SSH, les clefs OpenVPN, les clefs DNSSEC, tous les certificats
X.509 et les clefs de sessions générées avec une version de OpenSSL au
moins égale à la version 0.9.8c-1 sont donc à considérer comme faibles.
Pour SSH, seules 262 000 clefs environ forment l’ensemble des clefs
possibles (DSA et RSA compris).