On Tue, Mar 18, 2003 at 04:54:22PM +0100, Tomasz Kłoczko wrote:
> > Co z security announce'ami? Dzimi chwilowo jest nieobecny, czy nie
> > mógłby ktoś przejąć jego obowiązków?
>
> Masz chęć zająć się tym ?
Raczej nie. Na tym stanowisku widziałbym osobę spełniającą co najmniej
dwa z poniższych dwóch warunków:
- zna się na rzeczy, tj wie trochę więcej niż to, że Linux jest, i że
się w nim nie da - to akurat wiedzą wszyscy ;)
- ma odpowiednio dużo czasu w dzień na śledzenie róznorakich list
poświęconych bezpieczeństwu, co implikuje dostep do stałego łącza,
ewentualnie ktoś na tyle kasiasty, aby być stale połączonym via modem.
Pierwszego warunku nie spełniam (póki co to w repo tylko psuję i psuję
;P), co do drugiego też jest problem - sec.ann. powinny wychodzić tak
szybko jak to tylko możliwe, natomiast ja ciągle siedze na modemie, i
jednak czas reakcji mógłby wynosić z mojej strony do kilku dni, co jest
imho niedopuszczalne - uważam, że informacje powinny się ukazywać
maksymalnie po 24 godzinach.
Generalnie widziałbym stworzenie czegoś co możnaby określić mianem "PLD
Security Team", w którym byłoby kilka osób (trzy, cztery?). Osoby
używałyby wspólnego klucza PGP, służącego do podpisywania security
announce'ów. Wątpliwe jest, aby wszystkie cztery nie miały dostępu do
internetu i nie mogły wypełnić swych powinności.
Ktoś chętny? Nie chcę rzuczać propozycji, za krótko "siedzę" w sprawch
pld, aby się na ten temat wypowiadać.
> Spróbuj w razie czego na początek zrobić próbny anons ostaniego openssl
> tutaj. .. tak kompletnei na próbę zeby wytestowac formę/template PLDSA :)
Ehh, no niech będzie - na bazie tego, co znalazłem w sieci:
Tylko nie jestem pewien co do zakwalifikowania problem-type. Remote?
Niby tak, ale wymaga to naprawdę grubej rury, więc może local network,
albo "remote (but requires high-speed bandwidth)" ?
- --------------------------------------------------------------------------
PLD Security Advisory PLDSA 28-1 security w pld.org.pl
http://www.pld.org.pl/security/ PLD Security Team
18 March 2003 http://www.pld.org.pl/security/faq
- --------------------------------------------------------------------------
Package : prior to openssl-0.9.7a and openssl-0.9.6i
Vulnerability : timing based attack
Problem-Type : local (?)
PLD-specific : no
CVE references : CAN-2003-0147
Upstream URL : http://www.openssl.org/news/secadv_20030317.txt
OpenSSL v0.9.7a and 0.9.6i vulnerability
----------------------------------------
Researchers have discovered a timing attack on RSA keys, to which
OpenSSL is generally vulnerable, unless RSA blinding has been turned
on.
Typically, it will not have been, because it is not easily possible to
do so when using OpenSSL to provide SSL or TLS.
The enclosed patch switches blinding on by default. Applications that
wish to can remove the blinding with RSA_blinding_off(), but this is
not generally advised. It is also possible to disable it completely by
defining OPENSSL_NO_FORCE_RSA_BLINDING at compile-time.
The performance impact of blinding appears to be small (a few
percent).
This problem affects many applications using OpenSSL, in particular,
almost all SSL-enabled Apaches. You should rebuild and reinstall
OpenSSL, and all affected applications.
The Common Vulnerabilities and Exposures project (cve.mitre.org) has
assigned the name CAN-2003-0147 to this issue.
We strongly advise upgrading OpenSSL in all cases, as a precaution.
wget -c url
will fetch the file for you
rpm -Uhv file(s)*.rpm
will upgrade the referenced file.
If you are using "poldek" - the package manager, use the line as given below
for upgrade packages
poldek --update
will update the internal database
poldek --upgrade 'openssl*'
will install corrected packages
If you are using "apt" - the package manager, use the line as given below
for upgrade packages
apt-get update
will update the internal database
apt-get upgrade 'openssl*'
will install corrected packages
PLD Linux 1.0 alias ra
- --------------------
Source archives:
# urle i sumy md5 - tak jak w poprzednich security announce'ach by dzimi
--
http://www.mysza.eu.org/ | Everybody needs someone sure, someone true,
http://www.ipv6.mysza.eu.org/ | Everybody needs some solid rock, I know I do.