Bug in Debian Linux, le chiavi Ssl erano prevedibili

Grave falla nelle comunicazioni cifrate Ssl, usate per esempio per trasmettere i numeri di carta di credito durante gli acquisti. Colpite anche per le distribuzioni derivate, come Ubuntu.

[ZEUS News - www.zeusnews.it - 15-05-2008]

Bug in Debian, le chiavi Ssl erano prevedibili

Un bug nell'implementazione Debian di OpenSsl, versione libera del protocollo Secure Sockets Layer, ha scorrazzato libero per un anno e mezzo ma è stato scoperto solo ora. Bisogna sottolineare che il problema è stato prontamente risolto tramite il rilascio di una versione aggiornata.

Il protocollo Ssl è nato per rendere sicure le comunicazioni via Internet cifrandole; per far ciò si sfrutta chiavi generate affidandosi a un generatore di numeri pseudo-casuali.

Il problema è che a causa di una modifica non conforme alle specifiche Debian - si legge nel comunicato - risalente al settembre 2006, le chiavi generate sono prevedibili e ciò rappresente un rischio per la sicurezza. In pratica, i numeri che avrebbero dovuto essere totalmente casuali, in realtà sono prevedibili.

Gli utenti e gli amministratori di sistemi Debian devono aggiornare subito i propri computer. La prima versione affetta è la 0.9.8c-1 e nel periodo trascorso dalla sua creazione il bug si è propagato nelle distribuzioni etch e lenny, ossia l'attuale stable e la testing.

Il problema riguarda non solo le Debian pure, ma anche le derivate, come Ubuntu, che infatti ha a sua volta rilasciato un comunicato per mettere in guardia i propri utenti.

Possono invece stare tranquilli gli utenti della versione stabile precedente alla attuale, con il nome in codice sarge, e coloro che hanno già proceduto all'aggiornamento: per chi usa etch, la versione 0.9.8c-4etch3 è priva del bug, mentre gli utenti di sid e lenny devono aggiornare alla versione 0.9.8g-9.

Qui sotto, un paio di strip che circolano in rete da quando si è diffusa la notizia.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 18)

chemicalbit

Non solo, ma per continuare il paragone con un certo :) altro ben noto sistema operativo, è appena uscito il service pack 3 di Windows XP (che a sua volta crea altri problemi,ma questo è un altro discorso). non so se le cose che "ripara" derivino da WinXP originale, SP1 o SP2, ma anche se fosse da SP2 (nel caso in cui l'SP2... Leggi tutto
19-5-2008 10:55

LoSpippolo

ma poche ore per correggerla, le falle succitate erano NOTE da 6 mesi e mai corrette. La vedo assai diversa. Leggi tutto
19-5-2008 00:47

Ramon

Diciamo che nel mondo Debian è piuttosto diffusa l'usanza di patchare diversi pacchetti software in modo da adattarli alle esigenze di quella distribuzione; la cosa preoccupante è che, a volte, gli sviluppatori di altre distribuzioni Linux adottano a loro volta queste patches considerandole piuttosto affidabili proprio perché provengono... Leggi tutto
16-5-2008 21:47

freemind

@Ramon: Diciamo che il giochino della memoria sporca è una cosa molto sottile da capire... E' anche vero però che uno che lavora sui sorgenti dei pacchetti che vengono poi dichiarati standard x quella distro dovrebbe essere un po' smalizziato!
16-5-2008 20:20

chemicalbit

Cioè chi ha "adattato" OpenSSL a Debian? Leggi tutto
16-5-2008 17:51

Leggi gli altri 13 commenti nel forum Linux
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(10 commenti) Hacker sabota le lavatrici smart del campus: gli studenti lavano gratis. Code interminabili	Flash(4 commenti) Windows 11, lo speed test si integra nella barra: misura velocità di up/download e latenze

News(9 commenti)

Newelle, l'assistente AI open source per Linux e GNOME

News(15 commenti)

ISEE, titoli di studio e certificati arrivano su IT Wallet. Il portafoglio digitale si espande

News(9 commenti)

PayPal, arriva in Italia il finanziamento a 6, 12 o 24 rate. Ma occhio agli interessi

News(14 commenti)

Il robot umanoide che carica la lavastoviglie e rivoluziona le faccende domestiche

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Qual è la tua piattaforma mobile preferita?