[Solira] OpenSSL e Debian (e derivate)
Mario
mario.tux a gmail.com
Gio 15 Maggio 2008 14:42:54 CEST
Il giorno mar, 13/05/2008 alle 20.58 +0200, Mario ha scritto:
> Trovare la chiave privata non sono certo quanto sia facile ma sospetto
> che sia troppo semplice.
Una conferma alla gravità della falla:
http://blog.drinsama.de/erich/en/linux/2008051401-consequences-of-sslssh-weakness.html
Sembra che le chiavi segrete (a parità di dimensioni) sono appena
2^15=32768 e sono POCHISSIME. Praticamente mettendo mano al codice di
OpenSSL e SSH è possibile ricrearsi da soli tutte le chiavi segrete
usate da tutti i server implicati... molto grave!
Paradossalmente, al momento, i server Debian/Ubuntu aggiornati sembrano
essere i più sicuri, infatti questi ormai hanno integrato un meccanismo
che confronta le chiavi utilizzate (in ogni ambito) con una blacklist
(che penso diventerà esaustiva in pochi giorni) contenuta in un apposito
pacchetto 'openssh-blacklist' (ovviamente automaticamente installato ed
usato). Me ne sono accorto io quando OpenVPN si è rifiutato di farmi
entrare perché le chiavi che usavo erano deboli. Sembrano più a rischio
i server con altre distribuzioni che potrebbero avere, tra le chiavi
autorizzate a fare il login, proprio chiave deboli. Penso che anche le
altre distribuzioni dovrebbero impiegare il sistema di controllo su
blacklist.
Mario
Maggiori informazioni sulla lista
Solira