E' stata scovata proprio ieri una
vulnerabilità nel motore di generazione casuale usato da OpenSSL. Il modulo di generazione chiavi è il solito usato da
OpenSSH,
OpenVPN e per la generazione di
certificati SSL. In pratica un certo Luciano Bello ha scoperto che le chiavi vengono generate in maniera non troppo casuale, ovvero
potrebbero essere forzate con molta facilità. Questo fatto è dovuto da una modifica da parte di Debian al pacchetto ufficiale.
I sistemi Linux vulnerabili sono quindi Debian, Ubuntu e tutte le derivate da Debian, nulla esclude che chiunque usi quel pacchetto possa essere affetto dal solito bug.
Qui c'è il
ticket (DSA-1571) per Debian mentre gli annunci di vulnerabilità per Ubuntu sono
qui (usn-612-1) e
qui (usn-612-2).
Consiglio vivamente di
aggiornare la propria distribuzione e di
generare nuovamente le chiavi SSH e i certificati SSL.
Il pacchetto aggiornato per Ubuntu di OpenSSL è il seguente:
openssl-0.9.8g-4ubuntu3.1