Debian e Ubuntu, cifratura a rischio

E' stata scoperta una vulnerabilità nell'implementazione di OpenSSL/SSH di Debian: potrebbe mettere a rischio le chiavi crittografiche utilizzare in vari ambiti, incluse le VPN. Pronte le patch

Roma – In un recente advisory il team di sviluppo di Ubuntu ha avvisato gli utenti dell’esistenza, nelle distribuzioni Linux basate su Debian , di una seria vulnerabilità nei software utilizzati per la creazione delle chiavi crittografiche SSL ed SSH. La debolezza, a detta degli esperti, potrebbe consentire ad un cracker di indovinare le chiavi con appositi attacchi di forza bruta.

“Una vulnerabilità è stata scoperta nel generatore di numeri casuali usato da OpenSSL su sistemi Debian e Ubuntu”, si legge nell’advisory. “Come risultato di questa vulnerabilità, alcune chiavi cifrate sono molto più comuni di quanto dovrebbero essere. Un ipotetico aggressore può scoprire la chiave con un attacco di forza bruta e usando un livello minimo di conoscenza del sistema. Tutto questo affligge, in modo particolare, l’uso di chiavi cifrate in OpenSSH, Open VPN e SSL”.

Gli autori dell’avviso affermano che questa vulnerabilità è “estremamente seria”, e raccomandano a tutti gli utenti “di intervenire con urgenza per mettere in sicurezza il proprio sistema”.

La vulnerabilità sembra interessare soltanto i sistemi che, come Ubuntu, sono basati su Debian. Secondo quanto spiegato in questo post di geekinfosecurity.blogspot.com , l’errore sarebbe stato introdotto da “un solerte packager del gruppo Debian, che ha commentato delle righe di codice necessarie per la generazione casuale dei numeri di OpenSSL”.

Per correggere il problema è possibile procedere ad un aggiornamento del sistema o scaricare manualmente le patch dai link forniti qui . Dopo l’applicazione delle patch, agli amministratori di sistema viene suggerito di generare nuove chiavi crittografiche.

Una vulnerabilità apparentemente simile fu scoperta lo scorso novembre nel generatore di numeri pseudo-casuali di Windows.

Proprio negli scorsi giorni, nel blog dell’Internet Storm Center di SANS Institute è apparso un articolo che spiega come, negli ultimi tempi, gli attacchi di forza bruta contro le chiavi SSH siano cresciuti in modo preoccupante.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • andy61 scrive:
    la M$ vuole riprendersi i soldi ...
    la M$ vuole riprendersi i soldi della multa: da una parte deve pagare, ma dall'altra se li va a riprendere.Sarebbe interessante scoprire se vi sia qualche figura nel Parlamento Europeo che è coinvolta sia nell'applicazione della sanzione, sia nell'aggiudicazione dell'appalto ...Sarei anche curioso di conoscere il delta tra la multa ed il valore del nuovo appalto, e scoprire dove si ferma ...Ma come sempre penso male ...
    • j4w scrive:
      Re: la M$ vuole riprendersi i soldi ...
      Commento insignificante. Da oggi in poi qualsiasi attività economica che fa la MS (cioè tutte) lo fa per pagarsi la multa , ok?
    • pippo75 scrive:
      Re: la M$ vuole riprendersi i soldi ...
      - Scritto da: andy61
      la M$ vuole riprendersi i soldi della multa: da
      una parte deve pagare, ma dall'altra se li va a
      riprendere.e se fosse il contrario, prima l'europa da il lavoro e MS, la paga e poi riprende i soldi con le multe?
      • vavava scrive:
        Re: la M$ vuole riprendersi i soldi ...
        - Scritto da: pippo75
        - Scritto da: andy61

        la M$ vuole riprendersi i soldi della multa: da

        una parte deve pagare, ma dall'altra se li va a

        riprendere.

        e se fosse il contrario, prima l'europa da il
        lavoro e MS, la paga e poi riprende i soldi con
        le
        multe?Salvo eccezioni, dovute al fatto che che non esistano concorrenti, l'appalto (come fanno in USA, dove vengono privilegiate le compagnie USA) dovrebbe essere dato ad un azienda Europea.Dunque il tuo discorso cade nel vuoto !CiaoDunque
    • nauseato scrive:
      Re: la M$ vuole riprendersi i soldi ...
      per me pensi bene
  • sconforto scrive:
    Re: Una contraddizione già dal principio
    mi spiace, la parola "etica" l'hanno tolta anche dallo zanichelli.
  • bubu scrive:
    Siamo nel ridicolo
    Prina la CEE multa MS per posizione dominante, poi gli assegna un progetto di tali dimensioni.... forse che MS sia dominante solo per i sistemi desktop e non per il web???
    • pippo75 scrive:
      Re: Siamo nel ridicolo
      - Scritto da: bubu
      Prina la CEE multa MS per posizione dominante,
      poi gli assegna un progetto di tali
      dimensioni.... forse che MS sia dominante solo
      per i sistemi desktop e non per il
      web???fra sei mesi arriva Nilix che dirà che MS sta abusando della posizione dominante, cosi oltre a non pagare il lavoro, le metteranno un'altra multa da 500GigaEuro.Sicuramente la multa non la paghera, ma almeno l'antitrust fa vedere che lavora.
    • bubu scrive:
      Re: Siamo nel ridicolo
      ?!?!?!?scusa ma sei un tantino OT :-Pil thread su silverlight è quell'altro :-)
  • sda scrive:
    lavora gratis
    è il lavoro forzato per non aver pagato la supermulta?che schifo..avrei preferito lo facessero i puffi in html4
  • sonmix scrive:
    La società di Steve Ballmer ?
    Steve Ballmer è solo un rappresentante di Microsoft, al massimo avrà un bel po' di azioni, ma pur sempre in minoranza.
    • Max Della Torre scrive:
      Re: La società di Steve Ballmer ?
      Io alla Microsoft gli farei fare pure il portale ITALIA.IT!!!
      • nOra scrive:
        Re: La società di Steve Ballmer ?
        - Scritto da: Max Della Torre
        Io alla Microsoft gli farei fare pure il portale
        ITALIA.IT!!!Se non l'hanno già fatto...
    • Bastard Inside scrive:
      Re: La società di Steve Ballmer ?
      - Scritto da: sonmix
      Steve Ballmer è solo un rappresentante di
      Microsoft, al massimo avrà un bel po' di azioni,
      ma pur sempre in
      minoranza.Ehi, non sminuiamo Ballmer, mica è solo un semplice CEO, è anche primo ballerino alla Microsoft! :o :p Ballmer sta alla MS come Marchionne sta alla FIAT, ma in più anche come Nurejev (ghost) O) stava al Royal Ballet!!! (idea) :D
  • FIrefox scrive:
    Peccato...
    ... che il 30% dei cittadini europei che si collegheranno non potrà vederlo ;)
    • gino scrive:
      Re: Peccato...
      anche se sono quasi sempre contro ms stavolta la difendo...questa è una trollata bella e buona oppure tu sei un po' ignorante!http://silverlight.net/GetStarted/overview.aspx
      • sconforto scrive:
        Re: Peccato...
        e tu sei in malafedeil sito che hai linkato non funziona con linux/firefoxritenta, sarai più fortunato
  • Nemo_bis scrive:
    AIA
    Speriamo che non faccia la stessa fine dell'AIA partecipata dai cittadini anche via internet, con un sito che non usa nessuno...
  • z f k scrive:
    I'd like to know...
    L'unico motivo sensato che mi e' venuto in mente corrisponde a questo: molto della nuova iniziativa dipende dal coinvolgimento di molti, molti che su Internet, ad esempio proprio con i servizi di Windows Live, possono essere più facilmente raggiunti, e spinti a collaborare Non so cosa sia esattamente winLive... m'informero' :DPiuttosto, a me piacerebbe sapere chi gestira' la cosa, se tutto il codice verra' rilasciato al committente (come, mi pare, sia obbligo di legge), se sara' basato su standard aperti (winLive lo e'?), in modo da ampliare la di cui sopra base di popolazione raggiungibile con altri servizi e sw, di chi sono i server e chi li gestira'.Insomma, vorrei sapere un po' di dettagli. In italia la mia richiesta farebbe ridere i polli (vedi il "non sono affaracci vostri" del caso italia.it), ma questi sono Europa... o no?CYA
  • Chitto scrive:
    In tutta Europa
    non sono riusciti a trovare una ditta competente?Per quale ragione l'Europa sta regalando dei soldi ad una ditta extracomunitaria quando può invece pagare delle ditte locali?E poi... proprio a Microsoft che ha dimostrato di fregarsene degli standard inventandosene di propri?
    • Europa Europa scrive:
      Re: In tutta Europa
      Perchè hanno deciso così, e l'Europa non deve certo rendere conto ad un insignificante microorganismo come te delle sue decisioni.Taci e obbedisci ai nostri illuminati leader.ODE ALLA GIOIA!
    • davidsual scrive:
      Re: In tutta Europa
      Guarda che Microsoft non è extracomunitaria.. è multinazionale...ha sedi in tutti i paesi dell'unione europea..Quindi vuol dire che si utilizzerà tecnologia microsoft implementata da risorse europee
    • aimbina scrive:
      Re: In tutta Europa
      - Scritto da: Chitto
      non sono riusciti a trovare una ditta competente?
      Per quale ragione l'Europa sta regalando dei
      soldi ad una ditta extracomunitaria quando può
      invece pagare delle ditte
      locali?
      E poi... proprio a Microsoft che ha dimostrato di
      fregarsene degli standard inventandosene di
      propri?standard... cosa?in america prendono il vino italiano perchè è il meglio, stessa cosa si fa con il software, checchè se ne dica in questo portale di lamer
      • sda scrive:
        Re: In tutta Europa
        - Scritto da: aimbina
        - Scritto da: Chitto

        non sono riusciti a trovare una ditta
        competente?

        Per quale ragione l'Europa sta regalando dei

        soldi ad una ditta extracomunitaria quando può

        invece pagare delle ditte

        locali?

        E poi... proprio a Microsoft che ha dimostrato
        di

        fregarsene degli standard inventandosene di

        propri?

        standard... cosa?

        in america prendono il vino italiano perchè è il
        meglio, stessa cosa si fa con il software,
        checchè se ne dica in questo portale di
        lamerlamer tuo padreil miglior software non è di certo realizzato in USA, ma da molte persone sparse per tutto il mondo.
      • Akiro scrive:
        Re: In tutta Europa

        in america prendono il vino italiano perchè è il
        meglio, stessa cosa si fa con il software,
        checchè se ne dica in questo portale di
        lamerah, quindi in India?
  • Davide Impegnato scrive:
    Silverlight?
    Come da oggetto. Non vedo l'ora di avere il sito di un'ente pubblico, tutto con tecnologia proprietaria Microzoz.
    • davide73 scrive:
      Re: Silverlight?
      E perché? Che ti cambia come utente?- Scritto da: Davide Impegnato
      Come da oggetto. Non vedo l'ora di avere il sito
      di un'ente pubblico, tutto con tecnologia
      proprietaria
      Microzoz.
      • Erreboot scrive:
        Re: Silverlight?
        Che non potrà aprirlo.
        • Renji Abarai scrive:
          Re: Silverlight?
          leggi le news di oggi.Scoprirai che potrà utilizzarlo anche su linux.
          • gino scrive:
            Re: Silverlight?
            per fortuna il team di mono ha a disposizione un nda per implementare una versione al 100% compatibile con il plugin originalema se non ci fosse novell dietro a mono?
          • W BeOS scrive:
            Re: Silverlight?
            Perche' ti devi fasciare la testa prima di essertela rotta ?
          • sda scrive:
            Re: Silverlight?
            - Scritto da: Renji Abarai
            leggi le news di oggi.
            Scoprirai che potrà utilizzarlo anche su linux.ah renjinun scassa'
          • Uby scrive:
            Re: Silverlight?
            - Scritto da: Renji Abarai
            leggi le news di oggi.
            Scoprirai che potrà utilizzarlo anche su linux.Dipende da che versione di SL utilizzeranno.
          • ahio scrive:
            Re: Silverlight?
            - Scritto da: Renji Abarai
            leggi le news di oggi.
            Scoprirai che potrà utilizzarlo anche su linux.peccato che su mono ci sia qualche dubbio sul fatto che sia interamente lecito
          • Davide Impegnato scrive:
            Re: Silverlight?
            Naaa..sul mio computer Mono non c'è ancora...e poi silverlight mica è standardizzato, voglio proprio sperare che non lo vogliano usare davvero..Ve l'immaginate, il sito che si apre suggerendo di installare Silverlight per poter essere visualizzato correttamente? un sito dell'unione europea?Mi auguro che M$ non abbia cotanta faccia tosta... me lo auguro..
    • ciliani scrive:
      Re: Silverlight?
      - Scritto da: Davide Impegnato
      Come da oggetto. Non vedo l'ora di avere il sito
      di un'ente pubblico, tutto con tecnologia
      proprietaria
      Microzoz.Attenzione: se Microsoft deve scrivere un web accessibile da milioni di utenti, non usa mai la stessa tecnologia che propone ai suoi clienti. Andatevi a vedere msdn o microsoft.com, non sono certo scritti con le masterpages o con il framework "drag and drop" di visual studio (anche se usa pagine aspx). Allo stesso modo Google non e' scritto con i portali open source o con java.
      • ciko scrive:
        Re: Silverlight?
        dipende cosa intendi con "scritto" (mica google e' un software...)http://searchdns.netcraft.com/?position=limited&host=google.com
    • nOra scrive:
      Re: Silverlight?
      - Scritto da: Davide Impegnato
      Come da oggetto. Non vedo l'ora di avere il sito
      di un'ente pubblico, tutto con tecnologia
      proprietaria
      Microzoz.Prova a visitare il sito della ENIT...
Chiudi i commenti