openssl: vulnerabilita’ critica
Il team di sicurezza Debian ha pubblicato un annuncio riguardante la correzione di una vulnerabilità presente in openssl, identificata dal codice CVE-2008-1066. Contrariamente a quanto avviene di solito, aggiornare il pacchetto con la nuova versione resa disponibile può non essere sufficiente a rendere sicuro il vostro sistema.
La vulnerabilità, specifica delle distribuzioni Debian e derivate, consiste nel fatto che a causa di una errata inizializzazione del seed del generatore di numeri casuali, le chiavi SSH generate con una versione bacata di openssl sono più prevedibili di quanto dovrebbero essere, e quindi soggette ad attacchi di vario genere, compresi gli attacchi a forza bruta.
Successivamente all’aggiornamento del pacchetto, il team di sicurezza raccomanda di cambiare le proprie chiavi, se queste sono state create con un pacchetto openssl vulnerabile. Secondo l’advisory, sono affette dalla vulnerabilità le chiavi SSH, OpenVPN, DNSSEC, le chiavi dei certificati X.509 e le chiavi di sessione usate in connessioni SSL/TLS, mentre sono escluse (e non è necessario generarne di nuove) le chiavi generate con GnuPG o GNUTLS.
In Debian, sono da considerarsi compromesse le chiavi create con tutte le versioni di openssl a partire dalla 0.9.8c-1 (entrata in unstable il 17 settembre 2006) e precedenti la 0.9.8g-9, che è la prima versione corretta.
Per quanto riguarda Debian 4.0 “etch”, la prima versione corretta è la 0.9.8c-4etch3 rilasciata nel repository “security”. Le chiavi create in un sistema basato su Debian “etch” prima di questo aggiornamento sono parimenti da considerare come compromesse. Debian 3.1 “sarge” non è invece affetta.
‘advisory rilasciato dal team Debian Security, la cui lettura è caldamente consigliata a tutti gli amministratori di sistemi basati su Debian, si trova su http://lists.debian.org/debian-security-announce/2008/msg00152.html
Anche il team di Ubuntu ha rilasciato un advisory riguardo questa vulnerabilità e consiglia provvedimenti analoghi. Le versioni stabili di Ubuntu affette sono la 7.04, la 7.10 e la recente 8.04 LTS. Maggiori dettagli si possono leggere su http://www.ubuntu.com/usn/usn-612-2
Anche il sito “Debian Administration” gestito da Steve Kemp ha dedicato un articolo all’argomento: http://www.debian-administration.org/articles/596
Articolo originale pubblicato su debianitalian.org e qui riportato interamente in quanto si tratta di una grave falla di sicurezza che puo’ compromettere il funzionamento e la sicurezza dei sistemi debian-based.
Categoria: linux
Lascia un commento