Ubuntu/Debian, vulnerabilità in Openssl
Ecco pronto su un piatto d’argento un bel security bug per Debian e derivati in openssl. In buona sostanza il generatore di numeri casuali nel pacchetto debian di opessl è prevedibile, di conseguenza anche la chiave crittografata può essere scoperta.
Ecco i dati in sintesi:
=> Package : openssl
=> Vulnerability : predictable random number generator
=> Problem type : remote
=> Debian-specific: yes
=> CVE Id(s) : CVE-2008-0166
=> Checkout description and recommended fix here:
Eseguire un controllo per l’individuazione di chiavi “deboli”:
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
# gpg –keyserver subkeys.pgp.net –recv-keys 02D524BE
# gpg –verify dowkd.pl.gz.asc
# gunzip dowkd.pl.gz
# perl dowkd.pl host localhost
Il risultato dovrebbe essere 0. Se invece usiamo Debian o Ubuntu dobbiamo provvedere ad un upgrade di openssl che effettuerà il “fix” (riparazione) dei software vulnerabili. In questo wiki c’è una trattazione completa e dettagliata del problema e delle sue soluzioni.
Fonte nixCraft.
Post correlati...
Primi passi col piccolino by Mad on July 31st, 2008
Ora posso fregiarmi del titolo di "abile detective", infatti il mio "birthday gift" era effettivamente uno splendido eeepc 900 nero, il "piccolino".
Condividere la connessione ad internet tra due pc linux by Mad on May 4th, 2008
Prerequisiti:
due pc collegati tra loro con un cavo crossover (nel mio caso pc desktop e laptop);
pc desktop con due schede ethernet (eth0 collegata ad internet e eth1 per la rete locale);
linux su entrambi i pc (per me hardy heron sul desktop e gutsy gibbon su laptop).
Driver ati, hardy heron e il mio notebook. by Mad on April 19th, 2008
Qualche tempo fa scrissi un post sul mio .
Come connettersi ad internet con: cellulare + bluetooth + gnome ppp by Mad on June 7th, 2008
Fino a pochi minuti fa usavo il cavo usb per collegare il cellulare al pc e connettermi ad internet.
Update della guida installazione e configurazione di VirtualBox by Mad on June 12th, 2008
Ho effettuato un update della guida .
30 Giugno 2008 alle 10:18 am
[…] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/OpenSSL Command-Line HOWTOThe openssl application that ships with the openssl libraries can perform […]
10 Luglio 2008 alle 9:23 pm
[…] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/Random NumberASP 101 is the place developers go for Active Server Pages and ASP.NET […]