|
|
|
![]() |
|
Strumenti |
![]() |
#1 |
Messaggi: n/a
|
[CVE-2008-0166] [Debian, Ubuntu] weak crypto key generator
|
![]() |
![]() |
#2 |
Senior Member
Iscritto dal: May 2007
Città: DiSaronno Originale
Messaggi: 2374
|
Sei venuto nella tana del lupo. Occhio.
![]()
__________________
Dell XPS 9570 Powered by Arch Linux || Motorola One Vision Ho concluso con raffaelev, Iceworld, stebru, Dichy, AXIP, Quakeman e Swampo |
![]() |
![]() |
![]() |
#3 |
Senior Member
Iscritto dal: Jan 2005
Città: Roma
Messaggi: 4870
|
![]() sistemata la falla dopo poche ore dall'annuncio. |
![]() |
![]() |
![]() |
#4 |
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Minchia che botta
![]() nb gnutls non è affetto
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
![]() |
![]() |
![]() |
#5 |
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Cambio titolo e sposto nelle news
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
![]() |
![]() |
![]() |
#6 | |
Member
Iscritto dal: Jan 2006
Messaggi: 236
|
Quote:
![]() |
|
![]() |
![]() |
![]() |
#7 |
Senior Member
Iscritto dal: May 2007
Città: DiSaronno Originale
Messaggi: 2374
|
Già, se ne parlava settimana scorsa nel clan. Peccato però che la falla esiste da 2 anni
![]() Non voglio flammare il caro dovella, ma chissà quanti bug hanno risolto in famiglia da M$ e da Apple senza che noi ce ne accorgessimo. Se questi bug vengono fuori così, penso sia perchè debian è opensource. O no?
__________________
Dell XPS 9570 Powered by Arch Linux || Motorola One Vision Ho concluso con raffaelev, Iceworld, stebru, Dichy, AXIP, Quakeman e Swampo |
![]() |
![]() |
![]() |
#8 |
Senior Member
Iscritto dal: Feb 2004
Città: /media/ValSusa
Messaggi: 3607
|
Da quello che ho capito non è che il bug esiste da 2 anni. Ma le righe tolte nel codice pochi giorni addietro hanno reso vulnerabili i pacchetti risalenti a 2 anni or sono. Poi è stata straordinaria la prontezza nel correggere il bug: poche ore.
Questo grazie al fatto che è opensources. |
![]() |
![]() |
![]() |
#9 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 1868
|
Vecchiotta come notizia, ormai è già passato pure il panico da "rigenerazione certificati". (grazie chroot, ci sei sempre tu quando mi fregano le chiavi)
Bug grave, niente scuse, grosso errore debian. Da ammirare comunque le modalità di risposta: - patch quasi immediata - nel pacchetto corretto inclusione di una serie di tool per la verifica delle chiavi (ssh-vulnkey) - trasparenza e assistenza sulle procedure da seguire (http://wiki.debian.org/SSLkeys, http://www.debian.org/security/key-rollover/) Insomma, è stata una bella botta ma la reazione non ha fatto altro che aumentare la stima che provo verso questa distro.
__________________
[ W.S. ] |
![]() |
![]() |
![]() |
#10 | |
Senior Member
Iscritto dal: May 2007
Città: DiSaronno Originale
Messaggi: 2374
|
Quote:
__________________
Dell XPS 9570 Powered by Arch Linux || Motorola One Vision Ho concluso con raffaelev, Iceworld, stebru, Dichy, AXIP, Quakeman e Swampo |
|
![]() |
![]() |
![]() |
#11 | |||
Senior Member
Iscritto dal: Jan 2001
Città: Milano
Messaggi: 5705
|
Quote:
Quote:
Quote:
la fate facile ma la notizia è di una gravità notevole, tutti i certificati rilasciati su CSR generati con il pacchetto incriminato vanno riemessi. Alcune CA (verisign) si sono offerte di riemetterli gratuitamente, ma non è detto che le altre lo facciano. in alcuni casi i soldi che ballano possone essere veramente tanti, anche senza arrivare a sfruttare effettivamenete la vulnerabilità. Penso che sia una delle notizie peggiori degli ultimi anni, come potenziali conseguenze. |
|||
![]() |
![]() |
![]() |
#12 | |
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Quote:
Per non parlare di eventuali sistemi embedded ad es. per le vpn...mamma mia...questi però non dovrebbero essere molti, si usano spesso soluzioni diverse da Debian in campo embedded.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
![]() |
![]() |
![]() |
#13 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 1868
|
Certo che è grave, non la faccio facile. Ho passato 3 giorni ad aggiornare certificati e me ne mancano ancora alcuni. Rinnovarli ci si mette poco, concordare con il cliente i tempi ed i modi, verificare le procedure e ripristinare i servizi è un casino pure in realtà medio-piccole.
Dico solo che la risposta è stata esemplare.
__________________
[ W.S. ] |
![]() |
![]() |
![]() |
#14 |
Senior Member
Iscritto dal: Jan 2001
Città: Milano
Messaggi: 5705
|
|
![]() |
![]() |
![]() |
#15 |
Senior Member
Iscritto dal: Jan 2005
Città: Roma
Messaggi: 4870
|
cattivissima questa vignetta.
|
![]() |
![]() |
![]() |
#16 |
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
![]() |
![]() |
![]() |
#17 | |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 1868
|
![]() ![]() Quote:
Poi certo, se ogni mese capitasse una cosa simile la cosa sarebbe ben diversa.
__________________
[ W.S. ] |
|
![]() |
![]() |
![]() |
#18 |
Senior Member
Iscritto dal: Feb 2004
Città: /media/ValSusa
Messaggi: 3607
|
Io anche la penso così.
Sarà stata una cosa grave, è vero. La reazione è stata rapidissima. La diffusione della notizia idem. Altri SO avrebbero fatto la stessa cosa? Magari non lo dicevano nemmeno.... lo si scopriva poi a danni fatti.... Imho è sbagliata la mentalità di chi pensa che anche una debian sia perfetta. No, questo no. I bug ci saranno sempre. E' il come li si risolve a promuovere il proprio "prodotto" a fare la differenza. |
![]() |
![]() |
![]() |
#19 |
Senior Member
Iscritto dal: Dec 2004
Messaggi: 3573
|
Sì, ma bisogna davvero impegnarsi per trovarne di più rognosi di questo...
__________________
Debian amd64 | Gentoo amd64 | AMD Athlon64 3800+ X2@2701Mhz vcore 1.49V | Placing an unpatched Windows computer directly onto the Internet in the hope that it downloads the patches faster than it gets exploited are odds that you wouldn't bet on in Vegas | e-mail+jabber: darkbasic|a.t|linuxsystems|d.o.t|it | www.linuxsystems.it |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:56.