พบข้อบกพร่องใน OpenSSL สำหรับ Debian และ Ubuntu

เมื่อไม่กี่ชั่วโมงมานี้มีการค้นพบข้อบกพร่องในส่วนของการสร้างตัวเลขแบบสุ่มในแพ็กเกจ OpenSSL ทำให้การสุ่มคีย์ได้ค่าซ้ำง่ายกว่าที่ควรจะเป็น ส่งผลให้แฮกเกอร์อาจจะเดาคีย์ในเครื่องที่ใช้ OpenSSL เหล่านี้ได้

สำหรับ Ubuntu ที่ได้รับผลกระทบจากบั๊กนี้คือรุ่น 7.04, 7.10 และ 8.04 สำหรับ Debian นั้นรุ่น etch, lenny, และ sid ได้รับผลกระทบจากบั๊กนี้ ที่สำคัญกว่านั้นคือซอฟต์แวร์ที่ได้รับผลกระทบนั้น เป็นวงกว้างค่อนข้างมาก โดยส่วนที่ยืนยันว่าเกี่ยวข้องคือ

• openssh (ทั้งฝั่งผู้ใช้และเซิร์ฟเวอร์)
• OpenVPN
• DNSSEC
• ซอฟต์แวร์ที่ใช้โพรโตคอล X.509
• encfs
• Tor
• postfix
• cyrus imapd
• courier imap/pop3
• apache2 (ssl certs)
• dropbear
• cfengine

คำแนะนำในตอนนี้คือแอดมินทุกเครื่องควรอัพเกรดแพ็กเกจเหล่านี้อย่างเร่งด่วน และสร้างคีย์ขึ้นใหม่ทั้งหมดไม่ว่าจะเป็นของเครื่องเซิร์ฟเวอร์หรือของผู้ใช้เอง หรืออาจจะใช้โปรแกรม ssl-vulnkey เพื่อตรวจสอบคีย์ที่ได้รับผลกระทบจากบั๊กนี้ได้

ที่มา - Debian Mailing List, Ubuntu Mailing List