giu

Ubuntu/Debian, vulnerabilità in Openssl

Postato da Mad alle 3:14 pm in Hardy Heron, Sicurezza, Ubuntu | 2 comments »

Ecco pronto su un piatto d’argento un bel security bug per Debian e derivati in openssl. In buona sostanza il generatore di numeri casuali nel pacchetto debian di opessl è prevedibile, di conseguenza anche la chiave crittografata può essere scoperta. Ecco i dati in sintesi:
=> Package : openssl
=> Vulnerability : predictable random number generator
=> Problem type : remote
=> Debian-specific: yes
=> CVE Id(s) : CVE-2008-0166
=> Checkout description and recommended fix here:

Eseguire un controllo per l’individuazione di chiavi “deboli”:

# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
# gpg –keyserver subkeys.pgp.net –recv-keys 02D524BE
# gpg –verify dowkd.pl.gz.asc
# gunzip dowkd.pl.gz
# perl dowkd.pl host localhost

Il risultato dovrebbe essere 0. Se invece usiamo Debian o Ubuntu dobbiamo provvedere ad un upgrade di openssl che effettuerà il “fix” (riparazione) dei software vulnerabili. In questo wiki c’è una trattazione completa e dettagliata del problema e delle sue soluzioni.

Fonte nixCraft.

Post correlati...

Lamp su Hardy by Mad on May 22nd, 2008
Installare un server Lamp (acronimo di Linux Apache Mysql Php) su Ubuntu 8.

Vlc 0.92 su Ubuntu Hardy. by Mad on September 16th, 2008
VideoLAN ha da poco rilasciato la versione 0.

Kde 4.1, l' evoluzione... by Mad on May 30th, 2008
Kde 4.

Ubuntu Netbook Remix by Mad on June 5th, 2008
.

Samsung sgh u700 evo, hsdpa e ubuntu hardy by Mad on June 1st, 2008
Le mie connessioni estive, causa spostamento dall' abituale residenza, da qualche anno a questa parte, si sono avvalse di modem Gprs/Umts.

Segnala presso:

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Del.icio.us

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a reddit

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Technorati

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Stumble Upon

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Diggita

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Wikio

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Twitter

Bentornato!

Trackback URI | RSS Commenti

2 commenti per “ Ubuntu/Debian, vulnerabilità in Openssl ”

# 1 openssl ha detto:
30 giugno 2008 alle 10:18 am
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/OpenSSL Command-Line HOWTOThe openssl application that ships with the openssl libraries can perform [...]

# 2 random number generations ha detto:
10 luglio 2008 alle 9:23 pm
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/Random NumberASP 101 is the place developers go for Active Server Pages and ASP.NET [...]