Vulnerabilidad en generador de números aleatorios en SO basados en Debian en OpenSSL. (CVE-2008-0166)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/05/2008
Última modificación:
09/04/2025
Descripción
OpenSSL versión 0.9.8c-1 hasta versiones anteriores a 0.9.8g-9, sobre sistemas operativos basados en Debian usa un generador de números aleatorios que genera números predecibles, lo que facilita a atacantes remotos la conducción de ataques de adivinación por fuerza bruta contra claves criptográficas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openssl:openssl:*:*:*:*:*:*:*:* | 0.9.8c-1 (incluyendo) | 0.9.8g (incluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:6.06:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:7.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:7.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:8.04:*:*:*:-:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://metasploit.com/users/hdm/tools/debian-openssl/
- http://secunia.com/advisories/30136
- http://secunia.com/advisories/30220
- http://secunia.com/advisories/30221
- http://secunia.com/advisories/30231
- http://secunia.com/advisories/30239
- http://secunia.com/advisories/30249
- http://sourceforge.net/mailarchive/forum.php?thread_name=48367252.7070603%40shemesh.biz&forum_name=rsyncrypto-devel
- http://www.debian.org/security/2008/dsa-1571
- http://www.debian.org/security/2008/dsa-1576
- http://www.kb.cert.org/vuls/id/925211
- http://www.securityfocus.com/archive/1/492112/100/0/threaded
- http://www.securityfocus.com/bid/29179
- http://www.securitytracker.com/id?1020017=
- http://www.ubuntu.com/usn/usn-612-1
- http://www.ubuntu.com/usn/usn-612-2
- http://www.ubuntu.com/usn/usn-612-3
- http://www.ubuntu.com/usn/usn-612-4
- http://www.ubuntu.com/usn/usn-612-7
- http://www.us-cert.gov/cas/techalerts/TA08-137A.html
- https://16years.secvuln.info
- https://exchange.xforce.ibmcloud.com/vulnerabilities/42375
- https://news.ycombinator.com/item?id=40333169
- https://www.exploit-db.com/exploits/5622
- https://www.exploit-db.com/exploits/5632
- https://www.exploit-db.com/exploits/5720
- http://metasploit.com/users/hdm/tools/debian-openssl/
- http://secunia.com/advisories/30136
- http://secunia.com/advisories/30220
- http://secunia.com/advisories/30221
- http://secunia.com/advisories/30231
- http://secunia.com/advisories/30239
- http://secunia.com/advisories/30249
- http://sourceforge.net/mailarchive/forum.php?thread_name=48367252.7070603%40shemesh.biz&forum_name=rsyncrypto-devel
- http://www.debian.org/security/2008/dsa-1571
- http://www.debian.org/security/2008/dsa-1576
- http://www.kb.cert.org/vuls/id/925211
- http://www.securityfocus.com/archive/1/492112/100/0/threaded
- http://www.securityfocus.com/bid/29179
- http://www.securitytracker.com/id?1020017=
- http://www.ubuntu.com/usn/usn-612-1
- http://www.ubuntu.com/usn/usn-612-2
- http://www.ubuntu.com/usn/usn-612-3
- http://www.ubuntu.com/usn/usn-612-4
- http://www.ubuntu.com/usn/usn-612-7
- http://www.us-cert.gov/cas/techalerts/TA08-137A.html
- https://16years.secvuln.info
- https://exchange.xforce.ibmcloud.com/vulnerabilities/42375
- https://news.ycombinator.com/item?id=40333169
- https://www.exploit-db.com/exploits/5622
- https://www.exploit-db.com/exploits/5632
- https://www.exploit-db.com/exploits/5720