Debian et OpenSSL

Faille dans le package OpenSSL de Debian

Le 13 Mai 2008 le projet Debian annonçait que Lucian Bello avait trouvé une faille dans le package OpenSSL qui était distribué depuis la 17 septembre 2006. La bug en question est causé par la suppression des lignes suivante du fichier md_rand.c :


MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

Après ma note du 19 mai 2008 Découverte d’une faille de sécurité critique dans OpenSSL de Debian qui comportait beaucoup de référence et de source d’information à consulter. Je vous invite aujourd’hui à lire l’article Debian OpenSSL Predictable PRNG Toys de H D Moor.

Dilbert Ramdom Generator

Aléatoire & Random….ou pas

Comme expliqué dans l’article préconisé avoir retiré ce code à pour effet de limité la génération de valeur aléatoire au seul numéro d’ID du processus générant la clé. Or, sous linux, par defaut, le nombre d’ID est limité a 32768. Ce qui est pour le moins un faible nombre de valeur possible.