giu

Ubuntu/Debian, vulnerabilità in Openssl

Postato da Mad alle 3:14 pm in Hardy Heron, Sicurezza, Ubuntu | 2 comments »

Ecco pronto su un piatto d’argento un bel security bug per Debian e derivati in openssl. In buona sostanza il generatore di numeri casuali nel pacchetto debian di opessl è prevedibile, di conseguenza anche la chiave crittografata può essere scoperta. Ecco i dati in sintesi:
=> Package : openssl
=> Vulnerability : predictable random number generator
=> Problem type : remote
=> Debian-specific: yes
=> CVE Id(s) : CVE-2008-0166
=> Checkout description and recommended fix here:

Eseguire un controllo per l’individuazione di chiavi “deboli”:

# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
# gpg –keyserver subkeys.pgp.net –recv-keys 02D524BE
# gpg –verify dowkd.pl.gz.asc
# gunzip dowkd.pl.gz
# perl dowkd.pl host localhost

Il risultato dovrebbe essere 0. Se invece usiamo Debian o Ubuntu dobbiamo provvedere ad un upgrade di openssl che effettuerà il “fix” (riparazione) dei software vulnerabili. In questo wiki c’è una trattazione completa e dettagliata del problema e delle sue soluzioni.

Fonte nixCraft.

Post correlati...

Ubuntu 8.04.1 LTS by Mad on July 5th, 2008
A circa tre mesi dal rilascio di Hardy Heron siamo già arrivati al primo update siglato 8.

Update della guida installazione e configurazione di VirtualBox by Mad on June 12th, 2008
Ho effettuato un update della guida .

Nuovo script per compilare kde 4.1 by Mad on June 30th, 2008
Da qualche giorno è stata rilasciata una nuova versione di kdesvn-build, lo script per compilare un kde 4.

Seamless windows su Virtualbox by Mad on June 25th, 2008
Volete una dimostrazione della modalità trasparente di virtualbox? Ecco uno screenshot di esempio che riprende una finestra di risorse del computer di winxp perfettamente integrata nella mia Ubuntu Hardy Heron: Come si fa? Seguendo la mia .

Vi piace il mio desktop ? by Mad on May 27th, 2008
Cambiare stile al proprio desktop è un'attività che molti giudicano puerile (con una punta di snobismo a mio parere), ma che io considero un ottimo esercizio per rilassarsi; tra l'altro godere di una piacevole vista aiuta la concentrazione sia dell' utente che dell' utonto, volgarmente detto.

Segnala presso:

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Del.icio.us

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a reddit

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Technorati

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Stumble Upon

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Diggita

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Wikio

Aggiungi 'Ubuntu/Debian, vulnerabilità in Openssl' a Twitter

Se questo sito è di tuo gradimento abbonati gratuitamente sottoscrivendo il Feed RSS. Grazie per la visita!

Trackback URI | RSS Commenti

2 commenti per “ Ubuntu/Debian, vulnerabilità in Openssl ”

# 1 openssl ha detto:
30 giugno 2008 alle 10:18 am
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/OpenSSL Command-Line HOWTOThe openssl application that ships with the openssl libraries can perform [...]

# 2 random number generations ha detto:
10 luglio 2008 alle 9:23 pm
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/Random NumberASP 101 is the place developers go for Active Server Pages and ASP.NET [...]