[Linuxtrent] Re: Openssl in Debian e derivate!

• From: Daniele Nicolodi <daniele@xxxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Thu, 15 May 2008 00:06:15 +0200

"Marco Ciampa" <ciampix@xxxxxxxxx> writes:

> Inoltre è interessante vedere che ottengo gli stessi messaggi anche
> rifacendo le chiavi e che secondo il README:
>
> If ssh-vulnkey says "Unknown (no blacklist information)", then it has no
> information about whether that key is affected. In this case, you
> can examine the modification time (mtime) of the file using "ls -l".
> Keys generated before September 2006 are not affected.
>
> Cioè, sencondo quanto dice, le chiavi che ho appena rifatto (che danno gli
> stessi messaggi) potrebbero essere vulnerabili...ma che senso ha?

Fermiamoci a riflettere un momento e vedrai che la cosa ha
perfettamente senso. Le chiavi vulnerabili vengono identificate
confontandole con quelle presenti in un elenco di chiavi "cattive".
Questo eleno non contiene tutte le possibili chiavi "cattive". Credo
che non siano state gnerate tutte le chiavi "cattive" per formati di
chiavi e lunghezze delle medesime fuori dal comune. In particolare la
blacklist contiene solo le chiavi RSA a 2048 bit e le DSA a 1024 bit.

Se usi ciavi di lunghezza diversa da quelle contenute nella blacklist
ovviamente ssh-vulnkeys non sa con cosa confrontare le chiavi che
trova sul tuo sistema. Per questo diche che le chiavi sono
potenzialmente vulnerabili.

Un'altro parametro per avere indicazione di chiavi vulnerabili è il
fatto che siano state generate nell'intervallo di tempo in cui sui
sistemi debian è stato possibile avere il pacchetto di openssh con la
vulnerabilità. In particolare, come dice la documentazione, questo
periodo va da settembre 2006 al rilascio del pacchetto corretto in
questi giorni. Ovviamente le chiavi generate con la versione corretta
di openssl non sono notoriamente vulnerabili (ma nel tuo caso
continuano ad essere generate con una lunghezza per la quale non è
stata creata una blacklist).

Spro che adesso sia tutto un po' più chiaro.

Ciao
-- 
Daniele
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa

• References:
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Giuseppe Briotti
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Lele Gaifax
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa

Other related posts:

• » [Linuxtrent] Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!

1. Home
2. linuxtrent
3. Archive
4. 05-2008

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---