Una patch mette in ginocchio Debian
In tema di pacchettizzazione possiamo distinguere le distribuzioni che preferiscono lasciare inalterati i pacchetti da quelle che optano per una personalizzazione massiccia degli stessi. La personalizzazione dei sorgenti non è di per sé un problema ma, quando la modifica introduce una grave vulnerabilità, gli effetti di tale decisione ricadono anche su tutte le distribuzioni derivate.
Questo è quanto accaduto al pacchetto openssl in Debian, modificato da uno sviluppatore per correggere un errore riscontrato durante l’analisi con Valgrind. Peccato che la modifica abbia reso vulnerabili tutte le chiavi crittografiche generate su un’installazione di Debian Etch (e derivate).
A seguire, le conseguenze in dettaglio e le soluzioni al problema.
Partiamo dalle conseguenze: le chiavi SSH/OpenVPN/DNSSEC e quelle utilizzate in certificati X.509 e connessioni SSL/TLS create su macchine Debian a partire dal 17 settembre 2006 (data dell’entrata del pacchetto incriminato in unstable) vanno considerate vulnerabili.
Per questo motivo, per potervi considerare al sicuro da eventuali attacchi, dovrete aggiornare il vostro sistema e, successivamente, rigenerare tutte le chiave da voi utilizzate. Uno script per verificare la sicurezza delle vostre chiavi è disponibile a questo indirizzo mentre la pagina di riferimento per il bug e per i suoi rimedi sarà disponibile qui. Anche sulla pagina del wiki dedicata ad SSL sono presenti informazioni aggiuntive su questo grave bug.
Bollettino di sicurezza Debian, bollettino di sicurezza Ubuntu
PS Ah, dimenticavo…giusto per sdrammatizzare la situazione 
[via: slashdot.org || ossblog.it]
[...] del fair-queue e connection state recovery nativa), rinnovato supporto hardware, blacklist per le chiavi SSH generate da alcuni sistemi Debian, documentazione migliorata e una gran quantità di software aggiornato (BIND, OpenSSH, tnftpd, GCC [...]
Rilasciato DragonFly BSD 2.0 « marko’s weblog ha detto questo su 24 Luglio 2008 a 9:06 am