| Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found |
[ Thread Index |
Date Index
| More lists.tuxfamily.org/actux Archives
]
- To: actux@xxxxxxxxxxxxxxxxxxx
- Subject: Re: [Actux] Fwd: [ILUG] serious openssl/openssh hole found
- From: Kereoz <kereoz@xxxxxxxxxx>
- Date: Fri, 16 May 2008 13:05:56 +0100
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:sender:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references:x-google-sender-auth; bh=RGjQjZ1agcBzYRcP4Dd71M1NXpWKK07KNGorTcs2Ieo=; b=JRG8c34/vo5phKXAnxiG/Sb/9XdK1qVtqIFiJ7g4ndf0zleJGZJ+hwQNJHb/fLgXYNLA6kstUgQV8kkryMTy3rKQXuW0QftUAS+7M5J8bCAjCwh5T8cHFyjYYfHCvtEeUI+pjQAwggw1Rx28kMi23ow59LgFeylVSHqluVaA6bw=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:sender:to:subject:in-reply-to:mime-version:content-type:content-transfer-encoding:content-disposition:references:x-google-sender-auth; b=Azf1n1M1YtCWSZEjM1d63Ukafny8wihT0o6cIJKYRKvurjSNsECvUItGeJrlv/FMLNU9RmlWOimZTNyqZHdRh8OT0bsB1Xnhmf+kLcqtOdoNnf3iEPE+dsBalTmaLbpDA9vUj/WvijwXmqthCzgqtv6k7q8p3M//P90oQCR1z4o=
Le problème ne touche pas seulement OpenSSH (OpenSSL).
Autrement je suis d'accord :)
On Fri, May 16, 2008 at 8:33 AM, dermiste <dermiste@xxxxxxxxx> wrote:
> j'ai regardé de quoi il retournait sur full-disclosure : en gros c'est
> juste une réduction de l'entropie de la bi-clé utilisée dans
> l'authentification par bi-clé RSA (65536 bi-clés possibles). Mais pour
> prendre pied sur le serveur, il est nécessaire qu'il existe une telle
> bi-clé biaisée dans le .ssh/authorized-keys, et il n'y a pas d'autre
> alternatives que de faire un bruteforce pour se connecter. Avec un
> fail2ban doté d'une durée de ban de 10 minutes et bannissant au bout
> de 6 tentatives, en une journée on ne teste que 6*(60/10)*24 = 864
> clés.
>
> Encore une fois, beaucoup de bruit pour pas grand chose ... Si, une
> lecon à retenir : on ne s'improvise pas expert crypto
--
Christophe HAUSER, http://www.kereoz.org
Association Actux, http://actux.tuxfamily.org