PDA

View Full Version : [CVE-2008-0166] [Debian, Ubuntu] weak crypto key generator


dovella
20-05-2008, 16:13
link alla notizia (http://blogs.ugidotnet.org/raffaele/archive/2008/05/17/92714.aspx)

jeremy.83
20-05-2008, 16:38
Sei venuto nella tana del lupo. Occhio. :D

Herod2k
20-05-2008, 16:48
:old:
sistemata la falla dopo poche ore dall'annuncio.

ilsensine
20-05-2008, 16:54
Minchia che botta :D

nb gnutls non è affetto

ilsensine
20-05-2008, 17:03
Cambio titolo e sposto nelle news

Tony Lio
20-05-2008, 17:55
link alla notizia (http://blogs.ugidotnet.org/raffaele/archive/2008/05/17/92714.aspx)
Occhio.....:mad:

jeremy.83
20-05-2008, 20:25
:old:
sistemata la falla dopo poche ore dall'annuncio.

Già, se ne parlava settimana scorsa nel clan. Peccato però che la falla esiste da 2 anni :rolleyes: . Però scusate se se ne sono accorti solo ora vuol dire che, nonostante la gravità del bug, danni ne ha fatti pochi.

Non voglio flammare il caro dovella, ma chissà quanti bug hanno risolto in famiglia da M$ e da Apple senza che noi ce ne accorgessimo.

Se questi bug vengono fuori così, penso sia perchè debian è opensource.

O no?

iron84
20-05-2008, 21:44
Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources.

W.S.
21-05-2008, 09:34
Vecchiotta come notizia, ormai è già passato pure il panico da "rigenerazione certificati". (grazie chroot, ci sei sempre tu quando mi fregano le chiavi)

Bug grave, niente scuse, grosso errore debian. Da ammirare comunque le modalità di risposta:
- patch quasi immediata
- nel pacchetto corretto inclusione di una serie di tool per la verifica delle chiavi (ssh-vulnkey)
- trasparenza e assistenza sulle procedure da seguire (http://wiki.debian.org/SSLkeys, http://www.debian.org/security/key-rollover/)

Insomma, è stata una bella botta ma la reazione non ha fatto altro che aumentare la stima che provo verso questa distro.

jeremy.83
21-05-2008, 09:37
Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources.

Ok faccio ammenda. Vince comunque l'opensource

kingv
21-05-2008, 12:42
Già, se ne parlava settimana scorsa nel clan. Peccato però che la falla esiste da 2 anni :rolleyes: . Però scusate se se ne sono accorti solo ora vuol dire che, nonostante la gravità del bug, danni ne ha fatti pochi.
O no?

Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources.


Bug grave, niente scuse, grosso errore debian. Da ammirare comunque le modalità di risposta:



la fate facile ma la notizia è di una gravità notevole, tutti i certificati rilasciati su CSR generati con il pacchetto incriminato vanno riemessi. Alcune CA (verisign) si sono offerte di riemetterli gratuitamente, ma non è detto che le altre lo facciano. in alcuni casi i soldi che ballano possone essere veramente tanti, anche senza arrivare a sfruttare effettivamenete la vulnerabilità.
Penso che sia una delle notizie peggiori degli ultimi anni, come potenziali conseguenze.

ilsensine
21-05-2008, 12:45
la fate facile ma la notizia è di una gravità notevole, tutti i certificati rilasciati su CSR generati con il pacchetto incriminato vanno riemessi. Alcune CA (verisign) si sono offerte di riemetterli gratuitamente, ma non è detto che le altre lo facciano. in alcuni casi i soldi che ballano possone essere veramente tanti, anche senza arrivare a sfruttare effettivamenete la vulnerabilità.
Penso che sia una delle notizie peggiori degli ultimi anni, come potenziali conseguenze.
E' proprio questa la gravità. I sistemi operativi si aggiornano in quattro secondi, ma tutti i certificati rilasciati dalle banche e generati da Debian dal 2006 in poi sono da considerare compromessi.
Per non parlare di eventuali sistemi embedded ad es. per le vpn...mamma mia...questi però non dovrebbero essere molti, si usano spesso soluzioni diverse da Debian in campo embedded.

W.S.
21-05-2008, 13:19
Certo che è grave, non la faccio facile. Ho passato 3 giorni ad aggiornare certificati e me ne mancano ancora alcuni. Rinnovarli ci si mette poco, concordare con il cliente i tempi ed i modi, verificare le procedure e ripristinare i servizi è un casino pure in realtà medio-piccole.

Dico solo che la risposta è stata esemplare.

kingv
21-05-2008, 15:23
C

Dico solo che la risposta è stata esemplare.

la patch ero in grado di farla anch'io, visto che si trattava di tornare indietro alla versione "stock" di openssl.
quando fai un buco del genere però il calo di fiducia seguente è duro da colmare ;)

spassosissime:

http://metasploit.com/users/hdm/tools/debian-openssl/pmeo9hcjp7aw9.jpg

http://metasploit.com/users/hdm/tools/debian-openssl/tcv80ipepkza7.jpg

Herod2k
21-05-2008, 15:27
cattivissima questa vignetta.

ilsensine
21-05-2008, 15:31
http://metasploit.com/users/hdm/tools/debian-openssl/tcv80ipepkza7.jpg
:asd:

W.S.
21-05-2008, 15:39
:D belle le vignette :D

quando fai un buco del genere però il calo di fiducia seguente è duro da colmare ;)
Ma guarda, sicuramente è un duro colpo. La fiducia però non ne viene compromessa irrimediabilmente per il tipo di reazione. Tutti sappiamo che i bug ci sono ovunque, dare la certezza che una volta scoperti la reazione sarà rapida e seria significa guadagnarsi fiducia.
Poi certo, se ogni mese capitasse una cosa simile la cosa sarebbe ben diversa.

iron84
21-05-2008, 21:08
Io anche la penso così.
Sarà stata una cosa grave, è vero. La reazione è stata rapidissima. La diffusione della notizia idem.
Altri SO avrebbero fatto la stessa cosa? Magari non lo dicevano nemmeno.... lo si scopriva poi a danni fatti....
Imho è sbagliata la mentalità di chi pensa che anche una debian sia perfetta. No, questo no. I bug ci saranno sempre. E' il come li si risolve a promuovere il proprio "prodotto" a fare la differenza.

darkbasic
21-05-2008, 22:50
I bug ci saranno sempre.
Sì, ma bisogna davvero impegnarsi per trovarne di più rognosi di questo...