Ceci n'est pas un blog

Blog personale di Ivan Agliardi con pagine di informatica, linguaggi, idee…

Vulnerabilità openssh per Debian GNU/Linux

Questa volta la vulnerabilità segnalata dal team Debian Security Advisory è di quelle che devono far correre ai ripari – è il caso di dirlo – anche il sysadmin più easy!

Come raramente accade, questa volta il problema è specifico della distro Linux, anche se si tratta di una conseguenza indiretta del bug non Debian-specific scoperto pochi giorni fa nell’applicazione OpenSSH. Per dirla in poche parole, tutte le chiavi host e user generate per ogni connessione SSH dal pacchetto openssh buggato sono completamente inaffidabili, poiché la loro generazione non è avvenuta seguendo un algoritmo di randomizzazione valido e sono pertanto facilmente “prevedibili”.

Per le persone sagge, allego in calce a questo post il comunicato del DSA.

Risolvere il problema è comunque un gioco da ragazzi. È sufficiente lanciare:

apt-get dist-upgrade

e confermare il prompt che riproduco qui di seguito:

Ecco infine il Debian Security Advisory DSA-1576-1. Buona lettura!

A proposito di Ivan Agliardi

Ho immaginazione e creatività, ma non sono un artista. Faccio interagire tra loro aziende dando vita a nuove imprese, ma non sono un imprenditore. Mi occupo da oltre 15 anni di server Linux, applicazioni web, database, domini, hosting, housing, sicurezza informatica e sistemi embedded, ma non sono un tecnico. Faccio SEO, SEM, SMM e fornisco contenuti attraverso i miei copyrighter, ma non sono un uomo marketing. Ora ho di nuovo un blog, ma non sono un blogger. Sono solo un umanista e un informatico della prima ora. E mi circondo di gente con le palle :)

Un comment su “Vulnerabilità openssh per Debian GNU/Linux”

  1. Ivan Agliardi

    Mi correggo da solo, prima che lo faccia qualcun altro. La segnalazione presa da autorevole portale dedicato ai sysadmin Debian riportava come non Debian specific questo bug. Dopo avere approfondito l’argomento ho scoperto invece che si tratta di un bug assolutamente Debian specific. La prossima volta attingo direttamente ai DSA.

    Ecco il passaggio del DSA in cui si descrive la natura del bug:

    Luciano Bello discovered that the random number generator in Debian’s openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a
    result, cryptographic key material may be guessable.

    This is a Debian-specific vulnerability which does not affect other operating systems which are not based on Debian. However, other systems can be indirectly affected if weak keys are imported into them.

    It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

    https://lists.debian.org/debian-security-announce/2008/msg00152.html

    Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ivan Agliardi

Ivan Agliardi