[CVE-2008-0166] [Debian, Ubuntu] weak crypto key generator

20-05-2008, 15:13

link alla notizia

jeremy.83 · 20-05-2008, 15:38

Sei venuto nella tana del lupo. Occhio.

Herod2k · 20-05-2008, 15:48

sistemata la falla dopo poche ore dall'annuncio.

ilsensine · 20-05-2008, 15:54

Minchia che botta

nb gnutls non è affetto

ilsensine · 20-05-2008, 16:03

Cambio titolo e sposto nelle news

Tony Lio · 20-05-2008, 16:55

Quote:

Originariamente inviato da dovella

link alla notizia

Occhio.....

jeremy.83 · 20-05-2008, 19:25

Quote:

Originariamente inviato da Herod2k

sistemata la falla dopo poche ore dall'annuncio.

Già, se ne parlava settimana scorsa nel clan. Peccato però che la falla esiste da 2 anni

. Però scusate se se ne sono accorti solo ora vuol dire che, nonostante la gravità del bug, danni ne ha fatti pochi.

Non voglio flammare il caro dovella, ma chissà quanti bug hanno risolto in famiglia da M$ e da Apple senza che noi ce ne accorgessimo.

Se questi bug vengono fuori così, penso sia perchè debian è opensource.

O no?

iron84 · 20-05-2008, 20:44

Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources.

W.S. · 21-05-2008, 08:34

Vecchiotta come notizia, ormai è già passato pure il panico da "rigenerazione certificati". (grazie chroot, ci sei sempre tu quando mi fregano le chiavi)

Bug grave, niente scuse, grosso errore debian. Da ammirare comunque le modalità di risposta:
- patch quasi immediata
- nel pacchetto corretto inclusione di una serie di tool per la verifica delle chiavi (ssh-vulnkey)
- trasparenza e assistenza sulle procedure da seguire (http://wiki.debian.org/SSLkeys, http://www.debian.org/security/key-rollover/)

Insomma, è stata una bella botta ma la reazione non ha fatto altro che aumentare la stima che provo verso questa distro.

jeremy.83 · 21-05-2008, 08:37

Quote:

Originariamente inviato da iron84

Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources.

Ok faccio ammenda. Vince comunque l'opensource

kingv · 21-05-2008, 11:42

Quote:

Originariamente inviato da jeremy.83

Già, se ne parlava settimana scorsa nel clan. Peccato però che la falla esiste da 2 anni

. Però scusate se se ne sono accorti solo ora vuol dire che, nonostante la gravità del bug, danni ne ha fatti pochi.
O no?

Quote:

Originariamente inviato da iron84

Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources.

Quote:

Originariamente inviato da W.S.

Bug grave, niente scuse, grosso errore debian. Da ammirare comunque le modalità di risposta:

la fate facile ma la notizia è di una gravità notevole, tutti i certificati rilasciati su CSR generati con il pacchetto incriminato vanno riemessi. Alcune CA (verisign) si sono offerte di riemetterli gratuitamente, ma non è detto che le altre lo facciano. in alcuni casi i soldi che ballano possone essere veramente tanti, anche senza arrivare a sfruttare effettivamenete la vulnerabilità.
Penso che sia una delle notizie peggiori degli ultimi anni, come potenziali conseguenze.

ilsensine · 21-05-2008, 11:45

Quote:

Originariamente inviato da kingv

la fate facile ma la notizia è di una gravità notevole, tutti i certificati rilasciati su CSR generati con il pacchetto incriminato vanno riemessi. Alcune CA (verisign) si sono offerte di riemetterli gratuitamente, ma non è detto che le altre lo facciano. in alcuni casi i soldi che ballano possone essere veramente tanti, anche senza arrivare a sfruttare effettivamenete la vulnerabilità.
Penso che sia una delle notizie peggiori degli ultimi anni, come potenziali conseguenze.

E' proprio questa la gravità. I sistemi operativi si aggiornano in quattro secondi, ma tutti i certificati rilasciati dalle banche e generati da Debian dal 2006 in poi sono da considerare compromessi.
Per non parlare di eventuali sistemi embedded ad es. per le vpn...mamma mia...questi però non dovrebbero essere molti, si usano spesso soluzioni diverse da Debian in campo embedded.

W.S. · 21-05-2008, 12:19

Certo che è grave, non la faccio facile. Ho passato 3 giorni ad aggiornare certificati e me ne mancano ancora alcuni. Rinnovarli ci si mette poco, concordare con il cliente i tempi ed i modi, verificare le procedure e ripristinare i servizi è un casino pure in realtà medio-piccole.

Dico solo che la risposta è stata esemplare.

kingv · 21-05-2008, 14:23

Quote:

Originariamente inviato da W.S.

C

Dico solo che la risposta è stata esemplare.

la patch ero in grado di farla anch'io, visto che si trattava di tornare indietro alla versione "stock" di openssl.
quando fai un buco del genere però il calo di fiducia seguente è duro da colmare

spassosissime:

Herod2k · 21-05-2008, 14:27

cattivissima questa vignetta.

ilsensine · 21-05-2008, 14:31

Quote:

Originariamente inviato da kingv

W.S. · 21-05-2008, 14:39

belle le vignette

Quote:

Originariamente inviato da kingv

quando fai un buco del genere però il calo di fiducia seguente è duro da colmare

Ma guarda, sicuramente è un duro colpo. La fiducia però non ne viene compromessa irrimediabilmente per il tipo di reazione. Tutti sappiamo che i bug ci sono ovunque, dare la certezza che una volta scoperti la reazione sarà rapida e seria significa guadagnarsi fiducia.
Poi certo, se ogni mese capitasse una cosa simile la cosa sarebbe ben diversa.

iron84 · 21-05-2008, 20:08

Io anche la penso così.
Sarà stata una cosa grave, è vero. La reazione è stata rapidissima. La diffusione della notizia idem.
Altri SO avrebbero fatto la stessa cosa? Magari non lo dicevano nemmeno.... lo si scopriva poi a danni fatti....
Imho è sbagliata la mentalità di chi pensa che anche una debian sia perfetta. No, questo no. I bug ci saranno sempre. E' il come li si risolve a promuovere il proprio "prodotto" a fare la differenza.

darkbasic · 21-05-2008, 21:50

Quote:

Originariamente inviato da iron84

I bug ci saranno sempre.

Sì, ma bisogna davvero impegnarsi per trovarne di più rognosi di questo...

20-05-2008, 15:13	#1
dovella Messaggi: n/a	[CVE-2008-0166] [Debian, Ubuntu] weak crypto key generator link alla notizia

20-05-2008, 15:38	#2
jeremy.83 Senior Member Iscritto dal: May 2007 Città: DiSaronno Originale Messaggi: 2374	Sei venuto nella tana del lupo. Occhio. __________________ Dell XPS 9570 Powered by Arch Linux \|\| Motorola One Vision Ho concluso con raffaelev, Iceworld, stebru, Dichy, AXIP, Quakeman e Swampo

20-05-2008, 15:54	#4
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Minchia che botta nb gnutls non è affetto __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

20-05-2008, 16:03	#5
ilsensine Senior Member Iscritto dal: Apr 2000 Città: Roma Messaggi: 15625	Cambio titolo e sposto nelle news __________________ 0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12

20-05-2008, 20:44	#8
iron84 Senior Member Iscritto dal: Feb 2004 Città: /media/ValSusa Messaggi: 3607	Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore. Questo grazie al fatto che è opensources. __________________ Il mio negozio!

20-05-2008, 15:48	#3
Herod2k Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 4870	sistemata la falla dopo poche ore dall'annuncio.

21-05-2008, 08:34	#9
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	Vecchiotta come notizia, ormai è già passato pure il panico da "rigenerazione certificati". (grazie chroot, ci sei sempre tu quando mi fregano le chiavi) Bug grave, niente scuse, grosso errore debian. Da ammirare comunque le modalità di risposta: - patch quasi immediata - nel pacchetto corretto inclusione di una serie di tool per la verifica delle chiavi (ssh-vulnkey) - trasparenza e assistenza sulle procedure da seguire (http://wiki.debian.org/SSLkeys, http://www.debian.org/security/key-rollover/) Insomma, è stata una bella botta ma la reazione non ha fatto altro che aumentare la stima che provo verso questa distro. __________________ [ W.S. ]

21-05-2008, 12:19	#13
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	Certo che è grave, non la faccio facile. Ho passato 3 giorni ad aggiornare certificati e me ne mancano ancora alcuni. Rinnovarli ci si mette poco, concordare con il cliente i tempi ed i modi, verificare le procedure e ripristinare i servizi è un casino pure in realtà medio-piccole. Dico solo che la risposta è stata esemplare. __________________ [ W.S. ]

21-05-2008, 14:27	#15
Herod2k Senior Member Iscritto dal: Jan 2005 Città: Roma Messaggi: 4870	cattivissima questa vignetta.

21-05-2008, 20:08	#18
iron84 Senior Member Iscritto dal: Feb 2004 Città: /media/ValSusa Messaggi: 3607	Io anche la penso così. Sarà stata una cosa grave, è vero. La reazione è stata rapidissima. La diffusione della notizia idem. Altri SO avrebbero fatto la stessa cosa? Magari non lo dicevano nemmeno.... lo si scopriva poi a danni fatti.... Imho è sbagliata la mentalità di chi pensa che anche una debian sia perfetta. No, questo no. I bug ci saranno sempre. E' il come li si risolve a promuovere il proprio "prodotto" a fare la differenza. __________________ Il mio negozio!

Strumenti
Mostra una versione stampabile Invia questa pagina per email