Ubuntu/Debian, vulnerabilità in Openssl
Ecco pronto su un piatto d’argento un bel security bug per Debian e derivati in openssl. In buona sostanza il generatore di numeri casuali nel pacchetto debian di opessl è prevedibile, di conseguenza anche la chiave crittografata può essere scoperta.
=> Package : openssl
=> Vulnerability : predictable random number generator
=> Problem type : remote
=> Debian-specific: yes
=> CVE Id(s) : CVE-2008-0166
=> Checkout description and recommended fix here:
Eseguire un controllo per l’individuazione di chiavi “deboli”:
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
# gpg –keyserver subkeys.pgp.net –recv-keys 02D524BE
# gpg –verify dowkd.pl.gz.asc
# gunzip dowkd.pl.gz
# perl dowkd.pl host localhost
Il risultato dovrebbe essere 0. Se invece usiamo Debian o Ubuntu dobbiamo provvedere ad un upgrade di openssl che effettuerà il “fix” (riparazione) dei software vulnerabili. In questo wiki c’è una trattazione completa e dettagliata del problema e delle sue soluzioni.
Fonte nixCraft.
Post correlati...
Kde 4.1, facile su Ubuntu Hardy in 5 passi by Mad on August 3rd, 2008
Installare kde 4.
Il volo a ostacoli dell'airone by Mad on May 4th, 2008
Il rilascio di Hardy Heron insieme al supporto da parte di amd/ati alle schede della serie x1300/x1550 ha rappresentato per il sottoscritto una forte spinta all'abbandono della versione "antismanettamento" di windows (vista) sul mio pc desktop, in favore appunto dell'airone.
Edubuntu al 101% by Mad on July 24th, 2008
Supponiamo di volere una distro da utilizzare a scopo didattico, supponiamo anche di averla individuata in Edubuntu 8.
Airone parlante. Finalmente! by Mad on May 24th, 2008
Ricordate il mio post: ".
Hardy release candidate by Mad on April 19th, 2008
.
Bentornato!
Loading ...
30 giugno 2008 alle 10:18 am
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/OpenSSL Command-Line HOWTOThe openssl application that ships with the openssl libraries can perform [...]
10 luglio 2008 alle 9:23 pm
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/Random NumberASP 101 is the place developers go for Active Server Pages and ASP.NET [...]