Vulnerabilità OpenSSL per Debian e derivate

Interessante e al contempo spaventoso annuncio del security team di Debian [quote]Luciano Bello discovered that the random number generator in Debian's openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a result, cryptographic key material may be guessable.[/quote] Male, mooooolto male. Tale vulnerabilità riguarda solo Debian e le distribuzioni da essa derivate, tra le principali sicuramente Ubuntu, perché introdotta da una patch da loro scritta ed applicata dalla versione 0.9.8c-1 di openssl. Gli altri sistemi possono essere considerati indirettamente affetti se sono state importate chiavi generate da sistemi Debian con versioni di openssl dalla 0.9.8c-1 alla 0.9.8g-9 (esclusa). È a mio avviso importante notare che tra l'uscita della prima versione vulnerabile e l'ultima, che contiene il fix, sono passati circa due anni! Come fortemente consigliato anche nell'annuncio ufficiale tutto il materiale cifrato/firmato utilizzando chiavi generate dalle versioni affette deve essere ricreato e tali chiavi (SSH keys, OpenVPN keys, DNSSEC keys, certificati X.509) dovrebbero essere considerate compromesse e quindi opportunamente rigenerate, naturalmente non prima però di aver aggiornato a una versione di openssl >=0.9.8g-9 Sull'annuncio è presente anche uno scriptino in perl per verificare se si possiedono o si stanno utilizzando chiavi "deboli".

Voto medio: Scegli un punteggioPoorOkayGoodGreatAwesome

Nessun voto finora