http://article.gmane.org/gmane.linux.debian.security.announce/1614
le chiavi ssh di laundry sembrerebbero ok, ora vedo quelle ssl.
buon divertimento. :-/
On Wed, May 14, 2008 at 11:03:48AM +0200, marco ghidinelli wrote:
http://article.gmane.org/gmane.linux.debian.security.announce/1614
le chiavi ssh di laundry sembrerebbero ok, ora vedo quelle ssl.
buon divertimento. :-/
il tipo di attacco possibile e' del tipo man in the middle se non ho capito male, quindi fortunamentamente non cosi facile da attuare a meno di non essere un isp o di avere compromesso prima anche i dns ... o mi sono perso qualcosa?
ciao, Francesco
On Wed, May 14, 2008 at 11:23:29AM +0200, Francesco Dolcini wrote:
On Wed, May 14, 2008 at 11:03:48AM +0200, marco ghidinelli wrote:
http://article.gmane.org/gmane.linux.debian.security.announce/1614
le chiavi ssh di laundry sembrerebbero ok, ora vedo quelle ssl.
buon divertimento. :-/
il tipo di attacco possibile e' del tipo man in the middle se non ho capito male, quindi fortunamentamente non cosi facile da attuare a meno di non essere un isp o di avere compromesso prima anche i dns ... o mi sono perso qualcosa?
da quello che ho letto (il debian cve, nient'altro) sembra che le chiavi private non siano proprio cosi' casuali.
tra l'altro il detector riesce a trovare le chiavi guessabili via rete (connettendosi all'ssh)...
cosi' a naso mi sembra una situazione un po' grave.
bah.
On Wed, May 14, 2008 at 11:46:06AM +0200, marco ghidinelli wrote:
da quello che ho letto (il debian cve, nient'altro) sembra che le chiavi private non siano proprio cosi' casuali.
tra l'altro il detector riesce a trovare le chiavi guessabili via rete (connettendosi all'ssh)...
cosi' a naso mi sembra una situazione un po' grave.
aggiornamento, e rogna successiva:
http://www.debian.org/security/key-rollover/index.en.html
i nuovi pacchetti di sicurezza debian dovrebbero detectare da soli le chiavi vulnerabili.
il problema adesso e' che su laundry non arrivano piu' gli aggiornamenti di sicurezza: la etch e' uscita circa un avvo fa, e appunto nelle note di rilascio dicevano che per circa un anno ci sarebbero stati aggiornamenti di sicurezza x la sarge.
l'anno e' passato, ormai.
On Thu, May 15, 2008 at 09:44:47AM +0200, marco ghidinelli wrote:
il problema adesso e' che su laundry non arrivano piu' gli aggiornamenti di sicurezza: la etch e' uscita circa un avvo fa, e appunto nelle note di rilascio dicevano che per circa un anno ci sarebbero stati aggiornamenti di sicurezza x la sarge.
l'anno e' passato, ormai.
per fortuna, su laundry c'e' una version di libssl pre bug ... il vantaggio delle cose vecchie che tornano di moda ...
-
Francesco Dolcini -
marco ghidinelli