c.m.g
14-05-2008, 08:00
pubblicato: mercoledì 14 maggio 2008 da Andrea de Palo
http://static.blogo.it/ossblog/debian_logo_180.png (http://www.debian.org/)
In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.
Questo è quanto accaduto al pacchetto openssl in Debian (http://packages.qa.debian.org/o/openssl.html), modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind (http://valgrind.org/). Peccato che la modifica (http://rafb.net/p/JFifHk85.html) abbia reso vulnerabili tutte le chiavi crittografiche (http://www.debian.org/security/2008/dsa-1571) generate su un’installazione di Debian Etch (e derivate).
Partiamo dalle conseguenze: le chiavi SSH/OpenVPN/DNSSEC e quelle utilizzate in certificati X.509 e connessioni SSL/TLS create su macchine Debian a partire dal 17 settembre 2006 (data dell’entrata del pacchetto incriminato in unstable) vanno considerate vulnerabili.
Per questo motivo, per potervi considerare al sicuro da eventuali attacchi, dovrete aggiornare il vostro sistema e, successivamente, rigenerare tutte le chiave da voi utilizzate. Uno script per verificare la sicurezza delle vostre chiavi è disponibile a questo indirizzo (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz) mentre la pagina di riferimento per il bug e per i suoi rimedi sarà disponibile qui (http://www.debian.org/security/key-rollover/). Anche sulla pagina del wiki dedicata ad SSL (http://wiki.debian.org/SSLkeys) sono presenti informazioni aggiuntive su questo grave bug.
Bollettino di sicurezza Debian (http://lists.debian.org/debian-security-announce/2008/msg00152.html), bollettino di sicurezza Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2008-May/000705.html)
PS Ah, dimenticavo (http://www.random.org/analysis/dilbert.jpg)…giusto per sdrammatizzare la situazione ;)
Fonte: OssBlog (http://www.ossblog.it/post/4099/una-patch-mette-in-ginocchio-debian) via Slashdot (http://it.slashdot.org/article.pl?sid=08/05/13/1533212)
http://static.blogo.it/ossblog/debian_logo_180.png (http://www.debian.org/)
In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.
Questo è quanto accaduto al pacchetto openssl in Debian (http://packages.qa.debian.org/o/openssl.html), modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind (http://valgrind.org/). Peccato che la modifica (http://rafb.net/p/JFifHk85.html) abbia reso vulnerabili tutte le chiavi crittografiche (http://www.debian.org/security/2008/dsa-1571) generate su un’installazione di Debian Etch (e derivate).
Partiamo dalle conseguenze: le chiavi SSH/OpenVPN/DNSSEC e quelle utilizzate in certificati X.509 e connessioni SSL/TLS create su macchine Debian a partire dal 17 settembre 2006 (data dell’entrata del pacchetto incriminato in unstable) vanno considerate vulnerabili.
Per questo motivo, per potervi considerare al sicuro da eventuali attacchi, dovrete aggiornare il vostro sistema e, successivamente, rigenerare tutte le chiave da voi utilizzate. Uno script per verificare la sicurezza delle vostre chiavi è disponibile a questo indirizzo (http://security.debian.org/project/extra/dowkd/dowkd.pl.gz) mentre la pagina di riferimento per il bug e per i suoi rimedi sarà disponibile qui (http://www.debian.org/security/key-rollover/). Anche sulla pagina del wiki dedicata ad SSL (http://wiki.debian.org/SSLkeys) sono presenti informazioni aggiuntive su questo grave bug.
Bollettino di sicurezza Debian (http://lists.debian.org/debian-security-announce/2008/msg00152.html), bollettino di sicurezza Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2008-May/000705.html)
PS Ah, dimenticavo (http://www.random.org/analysis/dilbert.jpg)…giusto per sdrammatizzare la situazione ;)
Fonte: OssBlog (http://www.ossblog.it/post/4099/una-patch-mette-in-ginocchio-debian) via Slashdot (http://it.slashdot.org/article.pl?sid=08/05/13/1533212)