Vulnerabilidad grave en OpenSSH que afecta Debian y derivados
Recien termino de re-generar todas las keys en mis servidores y clientes, despues de que se dio a conocer hoy a la mañana, una vulnerabilidad gravisima en OpenSSH encontrada por Luciano Bello, que hace predecible (con lo cual, vulnerable), las ssh keys generadas desde el 2006 en adelante, en Debian y derivados (Ubuntu, por ejemplo).
Fue anunciado en Debian y Ubuntu, y hay actualizaciones disponibles para ambos.
Si usan keys ssh, es indispensable que actualicen a las ultimas versiones de los paquetes afectados, y regeneren sus keys.
Hay un paquete que se instala con la actualizacion con el que pueden ver si estan afectados:
ssh-vulnkey -a
Sino, pueden probar con:
wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
gunzip dowkd.pl.gz
chmod +x dowkd.pl
./dowkd.pl file /etc/ssh/ssh_host_{dsa,rsa}_key.pub 2>/dev/null
Si dice que tu clave es debil:
sudo dpkg-reconfigure -plow openssh-server
La vulnerabilidad no es de OpenSSH en si mismo, sino de un parche aplicado en Debian, que elimina la generar informacion random a la hora de generar los keys, para evitar que Valgrind se queje.
Es discutible el error, pero para los morbosos, en Slashdot ya se estan matando.
Felicitaciones a Luciano por el descubrimiento, y a regenerar keys 
Related items
Gravisima vulnerabilidad encontrada en OpenSSH en Debian y derivados…
Una gravisima vulnerabilidad en OpenSSH fue expuesta hoy, que afecta a Debian y todos sus derivados (Ubuntu, por ejemplo), y deben ser inmediatamente actualizados y regeneradas las llaves ssh generadas desde el 2006 en adelante….
[...] a kbglob me entero de que hay un paquete que se instala con la actualización y que te servirá para saber [...]
[...] Fuente: http://www.kbglob.com/gnulinux/€¦. [...]