Blog

Chiavi SSH e SSL in pericolo! [CVE-2008-0166]

E' stata scovata proprio ieri una vulnerabilità nel motore di generazione casuale usato da OpenSSL. Il modulo di generazione chiavi è il solito usato da OpenSSH, OpenVPN e per la generazione di certificati SSL. In pratica un certo Luciano Bello ha scoperto che le chiavi vengono generate in maniera non troppo casuale, ovvero potrebbero essere forzate con molta facilità. Questo fatto è dovuto da una modifica da parte di Debian al pacchetto ufficiale. I sistemi Linux vulnerabili sono quindi Debian, Ubuntu e tutte le derivate da Debian, nulla esclude che chiunque usi quel pacchetto possa essere affetto dal solito bug.

Qui c'è il ticket (DSA-1571) per Debian mentre gli annunci di vulnerabilità per Ubuntu sono qui (usn-612-1) e qui (usn-612-2).

Consiglio vivamente di aggiornare la propria distribuzione e di generare nuovamente le chiavi SSH e i certificati SSL.

Il pacchetto aggiornato per Ubuntu di OpenSSL è il seguente:

openssl-0.9.8g-4ubuntu3.1

Articoli correlati

DIASPORA* Facebook

Pubblicato il 15 maggio 2008 da e letto 1510 volte.

Link di trackback

Abbonati al feed RSS. Se non sai cos'è guarda qui.

Abbonati alla newsletter per ricevere via email ogni nuovo articolo pubblicato. L'indirizzo verrà gestito da FeedBurner.

Dai il tuo parere: Commenta questo articolo!
2 commenti su Chiavi SSH e SSL in pericolo! [CVE-2008-0166]
  1. Lazza dice:

    Installando i soliti aggiornamenti di Ubuntu, Debconf (o come si chiama) mi ha avvisato di questo ed ha risolto. :-)

    sabato, 17 maggio 2008 alle 14:44
  2. DnaX dice:

    Beh si, Ubuntu ha automatizzato il tutto però io che ho una chiave ssh per caricare sorgenti su Launchpad e gestire un account all’università mi sono arrivate un po‘ di mail per dirmi che dovevo aggiornare le mie chiavi ssh! ;)

    lunedì, 19 maggio 2008 alle 18:30
Lascia un commento

CC BY-NC-SA 3.0 2004-2012 Daniele Napolitano — Per informazioni sulla licenza leggere le Note legali
Torna su