Justo antes de ir a dormir me entero vía unaaldía y el canal svn de Ruby que se acaba de publicar un importante fallo de seguridad en los sistemas de cifrado de Ruby. Concretamente en la librería que se encarga de generar las claves de los algoritmos RSA. Esto deja al sistema un poco indefenso ante ataques de fuerza bruta a la hora de adivinar la clave RSA, ya que dejan de ser todo lo aleatorias que debería. Algo similar al fallo CVE-2008-0166 de Debian en OpenSSL.
El anuncio oficial se dio en el canal SVN de Ruby:
ext/openssl/ossl_pkey_rsa.c (rsa_generate): [SECURITY] Set RSA exponent value correctly. Awful bug. This bug caused exponent of generated key to be always '1'. By default, and regardless of e given as a parameter.
!!! Keys generated by this code (trunk after 2011-09-01) must be re-generated !!! (ruby_1_9_3 is safe)
Ya hay una nueva release que corrige el fallo detectado, por lo que es muy recomendable actualizar y generar nuevamente las claves RSA si la versión usada está afectada y se han generado claves con ella.
Más info:
http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=revision&revision=33633
http://unaaldia.hispasec.com/2011/11/horrible-fallo-de-seguridad.html
No hay comentarios :
Publicar un comentario