Krytyczna luka w OpenSSL

W znanym i bardzo istotnym pakiecie zapewniającym szyfrowanie połączeń w sieci doszukano się poważnego buga. Narażone na kompromitację są klucze wygenerowane za pomocą bibliotek OpenSSL w dystrybucjach Debiana i pochodnych, np: Ubuntu czy Knoppix. Problem dotyczy również aplikacji ściśle związanych z tym pakietem: openvpn, ssh oraz kluczy używanych przez najważniejszy serwer WWW - Apache.

Bug powstał niejako przez przypadek i występuje w bibliotece od maja 2006 roku. Wtedy właśnie, opiekunowie pakietu przeanalizowali oficjalny kod wersji produkcyjnej. Okazało się, że analizator kodu, którym się posłużono - Valgrind - wykrył lukę w funkcji ssleay_rand_bytes, która używała niezainicjalizowanych danych z bufora do generowania innych danych, które powinny być losowe. Jako, że taka 'losowość' jest nie wystarczająca autor postanowił pominąć tę funkcję przez zakomentowanie niektórych fragmentów kodu. Być może z rozpędu (sic!) zakomentowano również pewne fragmenty innej funkcji (ssleay_rand_add), która jest kluczowym mechanizmem entropii w OpenSSL.

Te zabiegi doprowadziły do tego, że dziś mamy poważny problem, którego bezwzględnie nie należy bagatelizować ponieważ na kompromitację mogą zostać narażone serwery, na których generowano klucze za pomocą wadliwych bibliotek.

Zaleca się przede wszystkim nałożenie patch'y oraz w niektórych wypadkach również ponowne generowanie kluczy.
Wszystkie niezbędne linki poniżej.