Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 15 Mag 2008 07:03 Oggetto: Bug in Debian, le chiavi Ssl erano prevedibili |
|
|
Commenti all'articolo Bug in Debian, le chiavi Ssl erano prevedibili
Un bug nell'implementazione di OpenSsl ha portato a una grave falla, compromettendo le comunicazioni criptate. Problemi anche per le distribuzioni derivate, come Ubuntu.
Foto di Andrea Danti
|
|
Top |
|
|
Zeus Amministratore
Registrato: 21/10/00 01:01 Messaggi: 12777 Residenza: San Junipero
|
Inviato: 15 Mag 2008 07:48 Oggetto: |
|
|
Il problema è decisamente serio... per la prima volta da mesi, dopo l'update, Ubuntu mi ha richiesto il reboot del sistema |
|
Top |
|
|
amldc Dio maturo
Registrato: 02/05/06 16:21 Messaggi: 1382
|
Inviato: 15 Mag 2008 08:27 Oggetto: |
|
|
Se non ho sbagliato a leggere la descrizione dell'aggiornamento (non ci presto mai troppa attenzione), mi e' gia' arrivato nei giorni scorsi (uso ubuntu 8.04) quindi prima ancora della notizia |
|
Top |
|
|
Zeus Amministratore
Registrato: 21/10/00 01:01 Messaggi: 12777 Residenza: San Junipero
|
Inviato: 15 Mag 2008 08:31 Oggetto: |
|
|
Speriamo che gli admin dei siti di ecommerce siano altrettanto veloci |
|
Top |
|
|
syaochan Dio minore
Registrato: 15/02/06 09:38 Messaggi: 779
|
Inviato: 15 Mag 2008 09:00 Oggetto: |
|
|
zeussino ha scritto: | Il problema è decisamente serio... per la prima volta da mesi, dopo l'update, Ubuntu mi ha richiesto il reboot del sistema | Reboot? E perché? Non bastava riavviare Apache, o qualunque altra cosa usi ssl? |
|
Top |
|
|
{Vic Von Doom} Ospite
|
Inviato: 15 Mag 2008 11:10 Oggetto: Funziona così.. |
|
|
..tutti pronti alle frecciatine su microzozz quando qualcosa non va, ma su un problema serio com equesto nessuno mette bocca eh?.. |
|
Top |
|
|
anyfile Semidio
Registrato: 27/08/05 16:20 Messaggi: 408
|
Inviato: 15 Mag 2008 13:20 Oggetto: |
|
|
syaochan ha scritto: | zeussino ha scritto: | Il problema è decisamente serio... per la prima volta da mesi, dopo l'update, Ubuntu mi ha richiesto il reboot del sistema | Reboot? E perché? Non bastava riavviare Apache, o qualunque altra cosa usi ssl? |
Probabilmente proprio per essere sicuri di riavviare tutti i servizi che utilizzano l'ssl (anzi per essere precisi che usano l'ssl o le chiavi ssl, ma solo limitatamente a quella libreria).
A me (che però uso debian) mi ha chiesto di dirgli quali servizi volevo che venissero riavviati (lui da solo era riuscito a fare una stima, ma visto che non era sicuro mi ha chiesto se la lista fosse giusta). Però, appunto, come, se non mi ricordo male diceva un avviso, se si fa il reboot si è sicuri che tutti i servizi e tutti i programmi che usano quella libreria siano così a posto. |
|
Top |
|
|
Zeus Amministratore
Registrato: 21/10/00 01:01 Messaggi: 12777 Residenza: San Junipero
|
Inviato: 15 Mag 2008 13:38 Oggetto: |
|
|
{Vic Von Doom} ha scritto: | ..tutti pronti alle frecciatine su microzozz quando qualcosa non va, ma su un problema serio com equesto nessuno mette bocca eh?.. |
Veramente ne stiamo appunto parlando... |
|
Top |
|
|
vincen-zoo Eroe in grazia degli dei
Registrato: 02/06/07 18:53 Messaggi: 136
|
Inviato: 15 Mag 2008 14:17 Oggetto: |
|
|
C'è da dire che sono molto efficienti, appena scoperta una falla, l'han subito messa a posto.
Piccola parentesi
Tra le news di oggi c'è ne una che dal titolo Una vulnerabilità critica in Windows, tre in Office...dice il mese in cui è stata scoperta la falla....6 mesi fa. |
|
Top |
|
|
{utente anonimo} Ospite
|
Inviato: 15 Mag 2008 15:48 Oggetto: ci hanno messo 2 anni per accorgersi della falla |
|
|
non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla! |
|
Top |
|
|
syaochan Dio minore
Registrato: 15/02/06 09:38 Messaggi: 779
|
Inviato: 15 Mag 2008 16:39 Oggetto: |
|
|
vincen-zoo ha scritto: | Piccola parentesi
Tra le news di oggi c'è ne una che dal titolo Una vulnerabilità critica in Windows, tre in Office...dice il mese in cui è stata scoperta la falla....6 mesi fa. | ...e se posso continuare la parentesi, Windows si paga. |
|
Top |
|
|
brigante~ Comune mortale
Registrato: 16/05/08 04:34 Messaggi: 1
|
Inviato: 16 Mag 2008 05:10 Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla |
|
|
{utente anonimo} ha scritto: | non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla! |
se tu o ualcun' altro ne eravate a conoscenza perché non l' avete resa pubblica prima?
o è solo un frecciatina alla {utente anonimo} ???
nulla di personame ovviamente.
ciauuuuu... |
|
Top |
|
|
ivan ortega Eroe
Registrato: 19/10/07 12:57 Messaggi: 67 Residenza: Verona
|
Inviato: 16 Mag 2008 06:52 Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla |
|
|
brigante~ ha scritto: | {utente anonimo} ha scritto: | non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla! |
se tu o ualcun' altro ne eravate a conoscenza perché non l' avete resa pubblica prima?
|
SE !!!
brigante~ ha scritto: |
o è solo un frecciatina alla {utente anonimo} ???
|
Sostanza propria zero, eh ? |
|
Top |
|
|
Ramon Semidio
Registrato: 07/07/06 00:50 Messaggi: 342
|
Inviato: 16 Mag 2008 15:21 Oggetto: Comunque la si pensi, è un fatto imbarazzante! |
|
|
Premetto che uso Linux (Slackware) da quasi 9 anni e ne sono pienamente soddisfatto; in ogni caso, anche se la cosa riguarda solo le distribuzioni Debian based (come la diffusissima Ubuntu), devo ammettere che si tratta di una situazione imbarazzante per un mondo come Linux dove l'attenzione per la sicurezza è a dir poco maniacale.
L'aspetto assurdo di questa vicenda è che tutto è dipeso dal gesto sciagurato di uno sviluppatore il quale, evidentemente, non aveva la più pallida idea di ciò che stava combinando!
In pratica, il debugger Valgrind protestava a causa della chiamata:
Codice: | MD_Update(&m,buf,j); |
presente nel codice sorgente di OpenSSL (il software che si occupa della generazione dei numeri casuali per la crittografia); i warning prodotti da Valgrind erano dovuti al fatto che MD_Update allocava memoria e poi la rendeva disponibile senza prima inizializzarla.
Questo sciagurato ha pensato bene allora di commentare la chiamata a MD_Update; così facendo però ha combinato un disastro in quanto proprio MD_Update, attraverso l'uso di memoria "sporca", garantiva l'imprevedibilità dei numeri casuali generati da OpenSSL!
Davanti a cose del genere cascano letteralmente le braccia!
P.S. Ovviamente, gli sviluppatori di OpenSSL non hanno nessuna responsabilità sul gesto di quel pazzo criminale; il software OpenSSL originale funziona benissimo e, per fortuna, ciò garantisce l'affidabilità di tutte quelle distribuzioni non basate su Debian.
P.P.S. Confermo anche il fatto che la cosa andava avanti da circa due anni!!!
|
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 16 Mag 2008 16:51 Oggetto: Re: Comunque la si pensi, è un fatto imbarazzante! |
|
|
Ramon ha scritto: | tutto è dipeso dal gesto sciagurato di uno sviluppatore il quale, evidentemente, non aveva la più pallida idea di ciò che stava combinando! | Cioè chi ha "adattato" OpenSSL a Debian? |
|
Top |
|
|
freemind Supervisor sezione Programmazione
Registrato: 04/04/07 20:28 Messaggi: 4643 Residenza: Internet
|
Inviato: 16 Mag 2008 19:20 Oggetto: |
|
|
@Ramon:
Diciamo che il giochino della memoria sporca è una cosa molto sottile da capire...
E' anche vero però che uno che lavora sui sorgenti dei pacchetti che vengono poi dichiarati standard x quella distro dovrebbe essere un po' smalizziato! |
|
Top |
|
|
Ramon Semidio
Registrato: 07/07/06 00:50 Messaggi: 342
|
Inviato: 16 Mag 2008 20:47 Oggetto: Re: Comunque la si pensi, è un fatto imbarazzante! |
|
|
chemicalbit ha scritto: | Cioè chi ha "adattato" OpenSSL a Debian? |
Diciamo che nel mondo Debian è piuttosto diffusa l'usanza di patchare diversi pacchetti software in modo da adattarli alle esigenze di quella distribuzione; la cosa preoccupante è che, a volte, gli sviluppatori di altre distribuzioni Linux adottano a loro volta queste patches considerandole piuttosto affidabili proprio perché provengono da Debian! |
|
Top |
|
|
LoSpippolo Eroe
Registrato: 24/03/08 16:57 Messaggi: 59
|
Inviato: 18 Mag 2008 23:47 Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla |
|
|
{utente anonimo} ha scritto: | non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla! |
ma poche ore per correggerla, le falle succitate erano NOTE da 6 mesi e mai corrette.
La vedo assai diversa. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 19 Mag 2008 09:55 Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla |
|
|
LoSpippolo ha scritto: | {utente anonimo} ha scritto: | non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla! |
ma poche ore per correggerla, le falle succitate erano NOTE da 6 mesi e mai corrette.
La vedo assai diversa. | Non solo, ma per continuare il paragone con un certo altro ben noto sistema operativo, è appena uscito il service pack 3 di Windows XP (che a sua volta crea altri problemi,ma questo è un altro discorso). non so se le cose che "ripara" derivino da WinXP originale, SP1 o SP2, ma anche se fosse da SP2 (nel caso in cui l'SP2 avesse paerto un nuovo problema, bella roba ...) è uscito nel 2004, 4 anni per correggerlo quindi! |
|
Top |
|
|
|