Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Bug in Debian, le chiavi Ssl erano prevedibili
Nuovo argomento   Rispondi    Indice del forum -> Linux
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 15 Mag 2008 07:03    Oggetto: Bug in Debian, le chiavi Ssl erano prevedibili Rispondi citando

Commenti all'articolo Bug in Debian, le chiavi Ssl erano prevedibili
Un bug nell'implementazione di OpenSsl ha portato a una grave falla, compromettendo le comunicazioni criptate. Problemi anche per le distribuzioni derivate, come Ubuntu.


Foto di Andrea Danti
Top
Zeus
Amministratore
Amministratore


Registrato: 21/10/00 01:01
Messaggi: 12752
Residenza: San Junipero

MessaggioInviato: 15 Mag 2008 07:48    Oggetto: Rispondi citando

Il problema è decisamente serio... per la prima volta da mesi, dopo l'update, Ubuntu mi ha richiesto il reboot del sistema Wink
Top
Profilo Invia messaggio privato HomePage
amldc
Dio maturo
Dio maturo


Registrato: 02/05/06 16:21
Messaggi: 1382

MessaggioInviato: 15 Mag 2008 08:27    Oggetto: Rispondi citando

Se non ho sbagliato a leggere la descrizione dell'aggiornamento (non ci presto mai troppa attenzione), mi e' gia' arrivato nei giorni scorsi (uso ubuntu 8.04) quindi prima ancora della notizia Very Happy
Top
Profilo Invia messaggio privato
Zeus
Amministratore
Amministratore


Registrato: 21/10/00 01:01
Messaggi: 12752
Residenza: San Junipero

MessaggioInviato: 15 Mag 2008 08:31    Oggetto: Rispondi citando

Speriamo che gli admin dei siti di ecommerce siano altrettanto veloci Wink
Top
Profilo Invia messaggio privato HomePage
syaochan
Dio minore
Dio minore


Registrato: 15/02/06 09:38
Messaggi: 779

MessaggioInviato: 15 Mag 2008 09:00    Oggetto: Rispondi citando

zeussino ha scritto:
Il problema è decisamente serio... per la prima volta da mesi, dopo l'update, Ubuntu mi ha richiesto il reboot del sistema Wink
Reboot? E perché? Non bastava riavviare Apache, o qualunque altra cosa usi ssl?
Top
Profilo Invia messaggio privato
{Vic Von Doom}
Ospite





MessaggioInviato: 15 Mag 2008 11:10    Oggetto: Funziona così.. Rispondi citando

..tutti pronti alle frecciatine su microzozz quando qualcosa non va, ma su un problema serio com equesto nessuno mette bocca eh?..
Top
anyfile
Semidio
Semidio


Registrato: 27/08/05 16:20
Messaggi: 408

MessaggioInviato: 15 Mag 2008 13:20    Oggetto: Rispondi citando

syaochan ha scritto:
zeussino ha scritto:
Il problema è decisamente serio... per la prima volta da mesi, dopo l'update, Ubuntu mi ha richiesto il reboot del sistema Wink
Reboot? E perché? Non bastava riavviare Apache, o qualunque altra cosa usi ssl?


Probabilmente proprio per essere sicuri di riavviare tutti i servizi che utilizzano l'ssl (anzi per essere precisi che usano l'ssl o le chiavi ssl, ma solo limitatamente a quella libreria).

A me (che però uso debian) mi ha chiesto di dirgli quali servizi volevo che venissero riavviati (lui da solo era riuscito a fare una stima, ma visto che non era sicuro mi ha chiesto se la lista fosse giusta). Però, appunto, come, se non mi ricordo male diceva un avviso, se si fa il reboot si è sicuri che tutti i servizi e tutti i programmi che usano quella libreria siano così a posto.
Top
Profilo Invia messaggio privato
Zeus
Amministratore
Amministratore


Registrato: 21/10/00 01:01
Messaggi: 12752
Residenza: San Junipero

MessaggioInviato: 15 Mag 2008 13:38    Oggetto: Rispondi citando

{Vic Von Doom} ha scritto:
..tutti pronti alle frecciatine su microzozz quando qualcosa non va, ma su un problema serio com equesto nessuno mette bocca eh?..


Veramente ne stiamo appunto parlando... Wink
Top
Profilo Invia messaggio privato HomePage
vincen-zoo
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 02/06/07 18:53
Messaggi: 136

MessaggioInviato: 15 Mag 2008 14:17    Oggetto: Rispondi citando

C'è da dire che sono molto efficienti, appena scoperta una falla, l'han subito messa a posto.
Piccola parentesi
Tra le news di oggi c'è ne una che dal titolo Una vulnerabilità critica in Windows, tre in Office...dice il mese in cui è stata scoperta la falla....6 mesi fa.
Top
Profilo Invia messaggio privato
{utente anonimo}
Ospite





MessaggioInviato: 15 Mag 2008 15:48    Oggetto: ci hanno messo 2 anni per accorgersi della falla Rispondi citando

non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla!
Top
syaochan
Dio minore
Dio minore


Registrato: 15/02/06 09:38
Messaggi: 779

MessaggioInviato: 15 Mag 2008 16:39    Oggetto: Rispondi citando

vincen-zoo ha scritto:
Piccola parentesi
Tra le news di oggi c'è ne una che dal titolo Una vulnerabilità critica in Windows, tre in Office...dice il mese in cui è stata scoperta la falla....6 mesi fa.
...e se posso continuare la parentesi, Windows si paga.
Top
Profilo Invia messaggio privato
brigante~
Comune mortale
Comune mortale


Registrato: 16/05/08 04:34
Messaggi: 1

MessaggioInviato: 16 Mag 2008 05:10    Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla Rispondi citando

{utente anonimo} ha scritto:
non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla!


se tu o ualcun' altro ne eravate a conoscenza perché non l' avete resa pubblica prima?

o è solo un frecciatina alla {utente anonimo} ???

nulla di personame ovviamente.


ciauuuuu...
Top
Profilo Invia messaggio privato HomePage
ivan ortega
Eroe
Eroe


Registrato: 19/10/07 12:57
Messaggi: 67
Residenza: Verona

MessaggioInviato: 16 Mag 2008 06:52    Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla Rispondi citando

brigante~ ha scritto:
{utente anonimo} ha scritto:
non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla!


se tu o ualcun' altro ne eravate a conoscenza perché non l' avete resa pubblica prima?



SE !!!


brigante~ ha scritto:


o è solo un frecciatina alla {utente anonimo} ???




Sostanza propria zero, eh ?
Top
Profilo Invia messaggio privato
Ramon
Semidio
Semidio


Registrato: 07/07/06 00:50
Messaggi: 342

MessaggioInviato: 16 Mag 2008 15:21    Oggetto: Comunque la si pensi, è un fatto imbarazzante! Rispondi citando

Premetto che uso Linux (Slackware) da quasi 9 anni e ne sono pienamente soddisfatto; in ogni caso, anche se la cosa riguarda solo le distribuzioni Debian based (come la diffusissima Ubuntu), devo ammettere che si tratta di una situazione imbarazzante per un mondo come Linux dove l'attenzione per la sicurezza è a dir poco maniacale.

L'aspetto assurdo di questa vicenda è che tutto è dipeso dal gesto sciagurato di uno sviluppatore il quale, evidentemente, non aveva la più pallida idea di ciò che stava combinando!
In pratica, il debugger Valgrind protestava a causa della chiamata:
Codice:
MD_Update(&m,buf,j);

presente nel codice sorgente di OpenSSL (il software che si occupa della generazione dei numeri casuali per la crittografia); i warning prodotti da Valgrind erano dovuti al fatto che MD_Update allocava memoria e poi la rendeva disponibile senza prima inizializzarla.
Questo sciagurato ha pensato bene allora di commentare la chiamata a MD_Update; così facendo però ha combinato un disastro in quanto proprio MD_Update, attraverso l'uso di memoria "sporca", garantiva l'imprevedibilità dei numeri casuali generati da OpenSSL!

Davanti a cose del genere cascano letteralmente le braccia!

Think Think Think Think

P.S. Ovviamente, gli sviluppatori di OpenSSL non hanno nessuna responsabilità sul gesto di quel pazzo criminale; il software OpenSSL originale funziona benissimo e, per fortuna, ciò garantisce l'affidabilità di tutte quelle distribuzioni non basate su Debian.

P.P.S. Confermo anche il fatto che la cosa andava avanti da circa due anni!!!

Shocked Shocked Shocked Shocked
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 16 Mag 2008 16:51    Oggetto: Re: Comunque la si pensi, è un fatto imbarazzante! Rispondi citando

Ramon ha scritto:
tutto è dipeso dal gesto sciagurato di uno sviluppatore il quale, evidentemente, non aveva la più pallida idea di ciò che stava combinando!
Cioè chi ha "adattato" OpenSSL a Debian?
Top
Profilo Invia messaggio privato
freemind
Supervisor sezione Programmazione
Supervisor sezione Programmazione


Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet

MessaggioInviato: 16 Mag 2008 19:20    Oggetto: Rispondi citando

@Ramon:
Diciamo che il giochino della memoria sporca è una cosa molto sottile da capire...
E' anche vero però che uno che lavora sui sorgenti dei pacchetti che vengono poi dichiarati standard x quella distro dovrebbe essere un po' smalizziato!
Top
Profilo Invia messaggio privato
Ramon
Semidio
Semidio


Registrato: 07/07/06 00:50
Messaggi: 342

MessaggioInviato: 16 Mag 2008 20:47    Oggetto: Re: Comunque la si pensi, è un fatto imbarazzante! Rispondi citando

chemicalbit ha scritto:
Cioè chi ha "adattato" OpenSSL a Debian?

Diciamo che nel mondo Debian è piuttosto diffusa l'usanza di patchare diversi pacchetti software in modo da adattarli alle esigenze di quella distribuzione; la cosa preoccupante è che, a volte, gli sviluppatori di altre distribuzioni Linux adottano a loro volta queste patches considerandole piuttosto affidabili proprio perché provengono da Debian!
Top
Profilo Invia messaggio privato
LoSpippolo
Eroe
Eroe


Registrato: 24/03/08 16:57
Messaggi: 59

MessaggioInviato: 18 Mag 2008 23:47    Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla Rispondi citando

{utente anonimo} ha scritto:
non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla!


ma poche ore per correggerla, le falle succitate erano NOTE da 6 mesi e mai corrette.

La vedo assai diversa.
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 19 Mag 2008 09:55    Oggetto: Re: ci hanno messo 2 anni per accorgersi della falla Rispondi

LoSpippolo ha scritto:
{utente anonimo} ha scritto:
non sono stati affatto efficienti, dato che ci hanno messo ben 2 anni per accorgersi della falla!


ma poche ore per correggerla, le falle succitate erano NOTE da 6 mesi e mai corrette.

La vedo assai diversa.
Non solo, ma per continuare il paragone con un certo Smile altro ben noto sistema operativo, è appena uscito il service pack 3 di Windows XP (che a sua volta crea altri problemi,ma questo è un altro discorso). non so se le cose che "ripara" derivino da WinXP originale, SP1 o SP2, ma anche se fosse da SP2 (nel caso in cui l'SP2 avesse paerto un nuovo problema, bella roba ...) è uscito nel 2004, 4 anni per correggerlo quindi!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Linux Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi