[Linuxtrent] Re: Openssl in Debian e derivate!
- From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 14 May 2008 23:06:21 +0200
Il 14 maggio 2008 17.37, Lele Gaifax <lele@xxxxxxxxxxxxxxxxxxx> ha scritto:
> On Wed, 14 May 2008 16:47:31 +0200
> Giuseppe Briotti <g.briotti@xxxxxxxxx> wrote:
>
>> > http://www.debian.org/security/2008/dsa-1571
>>
>> mmm... ho capito male? Come dire che tutte le chiavi
>> generate dal 2006 a oggi potrebbero essere vulnerabili?
>
> No, hai capito bene, è proprio così. Facendo un upgrade ti ritrovi un
> nuovo comando, "ssh-vulnkey" che ti segnala l'eventuale presenza di
> chiavi da considerare compromesse.
questo mi ricorda una vulnerabilità di OpenSSL (fino alla 0.9.8b),
poco nota e non debian specific:
http://www.matasano.com/log/469/many-rsa-signatures-may-be-forgeable-in-openssl-and-elsewhere/
in breve:
" 1. If the public exponent is "3", and
2. you inject the right "evil" bits into the PKCS data to make it a
perfect cube, then
3. you can create a something that broken RSA will validate.
"
ciao,
Rob
>
> ciao, lele.
> --
> nickname: Lele Gaifax | Quando vivrò di quello che ho pensato ieri
> real: Emanuele Gaifas | comincerò ad aver paura di chi mi copia.
> lele@xxxxxxxxxxxxxxxxxxx | -- Fortunato Depero, 1929.
> --
> Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
> "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
>
>
>
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: