Vulnerabilità openssh per Debian GNU/Linux

Total
0
Shares

Questa volta la vulnerabilità segnalata dal team Debian Security Advisory è di quelle che devono far correre ai ripari – è il caso di dirlo – anche il sysadmin più easy!

Come raramente accade, questa volta il problema è specifico della distro Linux, anche se si tratta di una conseguenza indiretta del bug non Debian-specific scoperto pochi giorni fa nell’applicazione OpenSSH. Per dirla in poche parole, tutte le chiavi host e user generate per ogni connessione SSH dal pacchetto openssh buggato sono completamente inaffidabili, poiché la loro generazione non è avvenuta seguendo un algoritmo di randomizzazione valido e sono pertanto facilmente “prevedibili”.

Per le persone sagge, allego in calce a questo post il comunicato del DSA.

Risolvere il problema è comunque un gioco da ragazzi. È sufficiente lanciare:

apt-get dist-upgrade

e confermare il prompt che riproduco qui di seguito:

Ecco infine il Debian Security Advisory DSA-1576-1. Buona lettura!

1 commento
  1. Mi correggo da solo, prima che lo faccia qualcun altro. La segnalazione presa da autorevole portale dedicato ai sysadmin Debian riportava come non Debian specific questo bug. Dopo avere approfondito l’argomento ho scoperto invece che si tratta di un bug assolutamente Debian specific. La prossima volta attingo direttamente ai DSA.

    Ecco il passaggio del DSA in cui si descrive la natura del bug:

    Luciano Bello discovered that the random number generator in Debian’s openssl package is predictable. This is caused by an incorrect Debian-specific change to the openssl package (CVE-2008-0166). As a
    result, cryptographic key material may be guessable.

    This is a Debian-specific vulnerability which does not affect other operating systems which are not based on Debian. However, other systems can be indirectly affected if weak keys are imported into them.

    It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

    https://lists.debian.org/debian-security-announce/2008/msg00152.html

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti potrebbe interessare anche

Bug nel plugin UTW con WordPress 2.x

Riporto integralmente un post pubblicato sul sito Internet https://www.levysoft.it in merito ad un bug presente nel plugin Ultimate Tag Warrior per WordPress 2.x perché quel bug ha reso inutilizzabile –…

Errore indici messaggi in Evolution 2.6

Scaricando la posta con Evolution 2.6 oggi sono incappato in una serie di errori, dovuti al danneggiamento dei file con cui il programma mantiene l’indicizzazione dei messaggi contenuti in ogni…

Rilasciata FreeBSD 6.3

Dopo due Release Candidate è stato annunciato il rilascio finale dell’attuale ramo -STABLE di FreeBSD! Anche se non sono state introdotte grosse novità (per quelle dovremo aspettare la 7.0) sono…