[Linuxtrent] Re: Openssl in Debian e derivate!
- From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 15 May 2008 09:13:51 +0200
2008/5/15 Marco Ciampa <ciampix@xxxxxxxxx>:
> On Wed, May 14, 2008 at 11:47:36PM +0200, Roberto Resoli wrote:
>> 2008/5/14 Marco Ciampa <ciampix@xxxxxxxxx>:
>> > On Wed, May 14, 2008 at 05:37:04PM +0200, Lele Gaifax wrote:
>> >> On Wed, 14 May 2008 16:47:31 +0200
>> >> Giuseppe Briotti <g.briotti@xxxxxxxxx> wrote:
>> >>
>> >> > > http://www.debian.org/security/2008/dsa-1571
>> >> >
>> >> > mmm... ho capito male? Come dire che tutte le chiavi
>> >> > generate dal 2006 a oggi potrebbero essere vulnerabili?
>> >>
>> >> No, hai capito bene, è proprio così. Facendo un upgrade ti ritrovi un
>> >> nuovo comando, "ssh-vulnkey" che ti segnala l'eventuale presenza di
>> >> chiavi da considerare compromesse.
>> >>
>> >> ciao, lele.
>> >> --
>> >> nickname: Lele Gaifax | Quando vivrò di quello che ho pensato ieri
>> >> real: Emanuele Gaifas | comincerò ad aver paura di chi mi copia.
>> >> lele@xxxxxxxxxxxxxxxxxxx | -- Fortunato Depero, 1929.
>> > Oltretutto persino il README del pacchetto non è che sia chiarissimo...
>> >
>> > Se uno facendo
>> > ssh-vulnkey -a
>> > ottiene messaggi tipo:
>> >
>> > Unknown (no blacklist information): ....
>> >
>> > (che vuol dire? Che non è sicura ma non è presente nella lista? Oppure che
>> > non lo sa? Che fare?)
>>
>> apt-get install openssh-blacklist
>>
>> ti installa la blacklist ...
> apt-get install openssh-blacklist
> Lettura della lista dei pacchetti in corso... Fatto
> Generazione dell'albero delle dipendenze in corso
> Reading state information... Fatto
> openssh-blacklist è già alla versione più recente.
Ok. Ho appena scoperto che Ubuntu di default ha instalalto solo
openssh-client, e non
openssh-server, da cui openssh-blacklist dipende
Questo è il motivo per cui ho dovuto installarlo a mano.
Probabilmente la tua chiave è pre 2006? Oppure usa una dimensione
"strana"? ( Vedi risposta di Daniele ...)
comunque credo che il database in ogni caso non possa essere esaustivo.
>
> Risponde alla mia domanda? No. Il fatto che credo sia da notare è che quando
> c'è di mezzo la sicurezza IMHO la gente deve fare uno sforzo per essere più
> chiara possibile...una manovra sbagliata può costare cara...e non mi pare
> siano stati tanto chiari. Io per lo meno sono molto dubbioso su come
> procedere...
Beh, vero. Comunque sull'Ubuntu di casa l'aggiornamento di ieri sera
mi ha dato un alert grafico che illustrava la situazione.
Anche questo chiarisce abbastanza:
http://www.ubuntu.com/usn/usn-612-2
in particolare:
"... Once the update is applied, weak user keys will be automatically
rejected where possible (though they cannot be detected in all cases).
If you are using such keys for user authentication, they will
immediately stop working and will need to be replaced (see step 3).
OpenSSH host keys can be automatically regenerated when the OpenSSH
security update is applied. The update will prompt for confirmation
before taking this step. ..."
E' un problema serio, ma non catastrofico, comunque:
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166
".... makes it *easier* for remote attackers to conduct brute force
guessing attacks against cryptographic keys."
(gli asterischi sono miei)
ciao,
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: