[Linuxtrent] Re: Openssl in Debian e derivate!
- From: "Marco Ciampa" <ciampix@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 15 May 2008 08:53:25 +0200
On Thu, May 15, 2008 at 12:06:15AM +0200, Daniele Nicolodi wrote:
> "Marco Ciampa" <ciampix@xxxxxxxxx> writes:
>
> > Inoltre è interessante vedere che ottengo gli stessi messaggi anche
> > rifacendo le chiavi e che secondo il README:
> >
> > If ssh-vulnkey says "Unknown (no blacklist information)", then it has no
> > information about whether that key is affected. In this case, you
> > can examine the modification time (mtime) of the file using "ls -l".
> > Keys generated before September 2006 are not affected.
> >
> > Cioè, sencondo quanto dice, le chiavi che ho appena rifatto (che danno gli
> > stessi messaggi) potrebbero essere vulnerabili...ma che senso ha?
prima di tutto, grazie per gli approfondimenti.
> Fermiamoci a riflettere un momento e vedrai che la cosa ha
> perfettamente senso. Le chiavi vulnerabili vengono identificate
> confontandole con quelle presenti in un elenco di chiavi "cattive".
> Questo eleno non contiene tutte le possibili chiavi "cattive". Credo
> che non siano state gnerate tutte le chiavi "cattive" per formati di
> chiavi e lunghezze delle medesime fuori dal comune. In particolare la
> blacklist contiene solo le chiavi RSA a 2048 bit e le DSA a 1024 bit.
>
> Se usi ciavi di lunghezza diversa da quelle contenute nella blacklist
> ovviamente ssh-vulnkeys non sa con cosa confrontare le chiavi che
> trova sul tuo sistema. Per questo diche che le chiavi sono
> potenzialmente vulnerabili.
ok, non è il mio caso dato che le chiavi sono state generate automaticamente
e sono di lunghezza standard.
> Un'altro parametro per avere indicazione di chiavi vulnerabili è il
> fatto che siano state generate nell'intervallo di tempo in cui sui
> sistemi debian è stato possibile avere il pacchetto di openssh con la
> vulnerabilità. In particolare, come dice la documentazione, questo
> periodo va da settembre 2006 al rilascio del pacchetto corretto in
> questi giorni. Ovviamente le chiavi generate con la versione corretta
> di openssl non sono notoriamente vulnerabili (ma nel tuo caso
> continuano ad essere generate con una lunghezza per la quale non è
> stata creata una blacklist).
mmm e da dove deduci che sono di lunghezza fuori standard?
> Spro che adesso sia tutto un po' più chiaro.
Purtroppo no.
La cosa triste è che facendo:
spostando le vecchie chiavi in un luogo sicuro e facendo:
dpkg-reconfigure openss-server
Ottengo:
Not blacklisted: 2048 ************ /etc/ssh/ssh_host_rsa_key.pub
Not blacklisted: 1024 ************ /etc/ssh/ssh_host_dsa_key.pub
Unknown (no blacklist information): 2048 ********* root@ciampix
le prime due vabbé mi pare di aver capito (non sono sicuro al 100%) ma la terza?
Che vuol dire? Dov'è?
--
Marco Ciampa
+--------------------+
| Linux User #78271 |
| FSFE fellow #364 |
+--------------------+
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: