[Linuxtrent] Re: Openssl in Debian e derivate!

• From: "Marco Ciampa" <ciampix@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Wed, 14 May 2008 23:31:59 +0200

On Wed, May 14, 2008 at 11:21:31PM +0200, Marco Ciampa wrote:
> On Wed, May 14, 2008 at 05:37:04PM +0200, Lele Gaifax wrote:
> > On Wed, 14 May 2008 16:47:31 +0200
> > Giuseppe Briotti <g.briotti@xxxxxxxxx> wrote:
> > 
> > > > http://www.debian.org/security/2008/dsa-1571
> > > 
> > > mmm... ho capito male? Come dire che tutte le chiavi
> > > generate dal 2006 a oggi potrebbero essere vulnerabili?
> > 
> > No, hai capito bene, è proprio così. Facendo un upgrade ti ritrovi un
> > nuovo comando, "ssh-vulnkey" che ti segnala l'eventuale presenza di
> > chiavi da considerare compromesse.
> > 
> > ciao, lele.
> > -- 
> > nickname: Lele Gaifax    | Quando vivrò di quello che ho pensato ieri
> > real: Emanuele Gaifas    | comincerò ad aver paura di chi mi copia.
> > lele@xxxxxxxxxxxxxxxxxxx |                 -- Fortunato Depero, 1929.
> Oltretutto persino il README del pacchetto non è che sia chiarissimo...
> 
> Se uno facendo 
>  ssh-vulnkey -a
> ottiene messaggi tipo:
> 
> Unknown (no blacklist information): ....
> 
> (che vuol dire? Che non è sicura ma non è presente nella lista? Oppure che
> non lo sa? Che fare?)
> 
> e
> 
> Not blacklisted: ....
> 
> (qua invece è chiaro che non è presente nella lista ma è sicura o no?)
> 
> deve preoccuparsi?
> 
> Mah...
> 
Inoltre è interessante vedere che ottengo gli stessi messaggi anche
rifacendo le chiavi e che secondo il README:

If ssh-vulnkey says "Unknown (no blacklist information)", then it has no
information about whether that key is affected. In this case, you
can examine the modification time (mtime) of the file using "ls -l".
Keys generated before September 2006 are not affected.

Cioè, sencondo quanto dice, le chiavi che ho appena rifatto (che danno gli
stessi messaggi) potrebbero essere vulnerabili...ma che senso ha?

-- 

Marco Ciampa

+--------------------+
| Linux User  #78271 |
| FSFE fellow   #364 |
+--------------------+
-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Daniele Nicolodi

• References:
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Giuseppe Briotti
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Lele Gaifax
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa

Other related posts:

• » [Linuxtrent] Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!

1. Home
2. linuxtrent
3. Archive
4. 05-2008

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---