[Solira] OpenSSL e Debian (e derivate)

Mario mario.tux a gmail.com
Mar 13 Maggio 2008 20:00:25 CEST


Il giorno mar, 13/05/2008 alle 19.32 +0200, Emilio Pavia ha scritto:
> Segnalo a chi fosse sfuggito che è stata scoperta una vulnerabilità
> abbastanza grave in OpenSSL distribuito da Debian ed usato anche dalle
> distribuzioni derivate come Ubuntu:
> 
> http://www.debian.org/security/2008/dsa-1571
> http://www.ubuntu.com/usn/usn-612-1
> http://www.ubuntu.com/usn/usn-612-2
> 
> Si consiglia vivamente di rigenerare le chiavi crittografiche
> "difettose" (vedi quelle usate da SSH) :)

Azz.. un disastro!! Ho aggiornato i miei sistemi ma non mi pare che si
sia rigenerata nessuna chiave in automatico. Quelle SSL e SSH host le
posso rigenerare (problema parziale) ma mi preoccupa la mia chiave ssh
personale che uso per fare i login sui vari server... mi viene un
brivido di freddo a pensare che devo andare ad annullare tutte le chiavi
pubbliche depositate sui vari server (alcuni dei quali non ho più
memoria...). :(

Non ho capito se c'è un modo per controllare le chiavi. Sulla ubuntu è
spuntato un tool ssh-vulnkey che sembra fare questo ma sulle debian non
c'è. Ma non ho capito se funziona (sembra funzionare con una blacklist).

Mario



Maggiori informazioni sulla lista Solira