Ubuntu/Debian, vulnerabilità in Openssl
Ecco pronto su un piatto d’argento un bel security bug per Debian e derivati in openssl. In buona sostanza il generatore di numeri casuali nel pacchetto debian di opessl è prevedibile, di conseguenza anche la chiave crittografata può essere scoperta.
=> Package : openssl
=> Vulnerability : predictable random number generator
=> Problem type : remote
=> Debian-specific: yes
=> CVE Id(s) : CVE-2008-0166
=> Checkout description and recommended fix here:
Eseguire un controllo per l’individuazione di chiavi “deboli”:
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
# wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
# gpg –keyserver subkeys.pgp.net –recv-keys 02D524BE
# gpg –verify dowkd.pl.gz.asc
# gunzip dowkd.pl.gz
# perl dowkd.pl host localhost
Il risultato dovrebbe essere 0. Se invece usiamo Debian o Ubuntu dobbiamo provvedere ad un upgrade di openssl che effettuerà il “fix” (riparazione) dei software vulnerabili. In questo wiki c’è una trattazione completa e dettagliata del problema e delle sue soluzioni.
Fonte nixCraft.
Post correlati...
Mentor Tv card, xawtv e hardy. by Mad on May 6th, 2008
Potenza del pinguino! Una vecchia scheda tv, una Mentor del 1999, che ovviamente non voleva saperne di funzionare con vista, lavora dignitosamente col nostro airone.
Samsung sgh u700 evo, hsdpa e ubuntu hardy by Mad on June 1st, 2008
Le mie connessioni estive, causa spostamento dall' abituale residenza, da qualche anno a questa parte, si sono avvalse di modem Gprs/Umts.
Vi piace il mio desktop ? by Mad on May 27th, 2008
Cambiare stile al proprio desktop è un'attività che molti giudicano puerile (con una punta di snobismo a mio parere), ma che io considero un ottimo esercizio per rilassarsi; tra l'altro godere di una piacevole vista aiuta la concentrazione sia dell' utente che dell' utonto, volgarmente detto.
Driver ati, hardy heron e il mio notebook. by Mad on April 19th, 2008
Qualche tempo fa scrissi un post sul mio .
Hardy release candidate by Mad on April 19th, 2008
.
Se questo sito è di tuo gradimento abbonati gratuitamente sottoscrivendo il Feed RSS. Grazie per la visita!
30 giugno 2008 alle 10:18 am
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/OpenSSL Command-Line HOWTOThe openssl application that ships with the openssl libraries can perform [...]
10 luglio 2008 alle 9:23 pm
[...] debian/ubuntu packages. The random number generator in Debian’s openssl package is predictable.http://www.tuxmind.org/2008/06/16/ubuntudebian-vulnerabilita-in-openssl/Random NumberASP 101 is the place developers go for Active Server Pages and ASP.NET [...]