Debian OpenSSH/OpenSSL Packageの乱数発生器の脆弱性

critical Nessus プラグイン ID 32314

言語:

概要

リモートのSSHホストキーが脆弱です。

説明

リモートSSHホストキーがDebianまたはUbuntuシステムで生成されました。これにはOpenSSLライブラリの乱数発生器にバグが含まれています。

この問題はDebianパッケージャーがリモートバージョンのOpenSSLのエントロピーのほぼすべてのソースを削除していることが原因です。

攻撃者はリモートキーの秘密部分を容易に入手し、これを使用してリモートセッションを解読するか、中間者攻撃を設定できます。

ソリューション

リモートホストで生成されたすべての暗号素材は推測可能であるとみなしてください。特に、すべてのSSH、SSLおよびOpenVPNのキーマテリアルは、再生成する必要があります。

関連情報

http://www.nessus.org/u?107f9bdc

http://www.nessus.org/u?f14f4224

プラグインの詳細

深刻度: Critical

ID: 32314

ファイル名: ssh_debian_weak.nasl

バージョン: 1.20

タイプ: remote

ファミリー: Gain a shell remotely

公開日: 2008/5/14

更新日: 2018/11/15

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.3

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:F/RL:OF/RC:C

脆弱性情報

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

エクスプロイト可能

Core Impact

参照情報

CVE: CVE-2008-0166

BID: 29179

CWE: 310