Bug in Debian Linux, le chiavi Ssl erano prevedibili.

Dalla Redazione ZN.

Grave falla nelle comunicazioni cifrate Ssl, usate per esempio per trasmettere i numeri di carta di credito durante gli acquisti. Colpite anche per le distribuzioni derivate, come Ubuntu.

[ZEUS News, 15-05-2008.

Un bug nell'implementazione Debian di OpenSsl, versione libera del protocollo Secure Sockets Layer, ha scorrazzato libero per un anno e mezzo ma è stato scoperto solo ora. Bisogna sottolineare che il problema è stato prontamente risolto tramite il rilascio di una versione aggiornata.

Il protocollo Ssl è nato per rendere sicure le comunicazioni via Internet cifrandole; per far ciò si sfrutta chiavi generate affidandosi a un generatore di numeri pseudo-casuali. Il problema è che a causa di una modifica non conforme alle specifiche Debian - si legge nel comunicato risalente al settembre 2006, le chiavi generate sono prevedibili e ciò rappresente un rischio per la sicurezza.

In pratica, i numeri che avrebbero dovuto essere totalmente casuali, in realtà sono prevedibili. Gli utenti e gli amministratori di sistemi Debian devono aggiornare subito i propri computer. La prima versione affetta è la 0.9.8c-1 e nel periodo trascorso dalla sua creazione il bug si è propagato nelle distribuzioni etch e lenny, ossia l'attuale stable e la testing.

Il problema riguarda non solo le Debian pure, ma anche le derivate, come Ubuntu, che infatti ha sua volta rilasciato un comunicato per mettere in guardia i propri utenti.

Possono invece stare tranquilli gli utenti della versione stabile precedente alla attuale, con il nome in codice sarge, e coloro che hanno già proceduto all'aggiornamento: per chi usa etch, la versione 0.9.8c-4etch3 è priva del bug, mentre gli utenti di sid e lenny devono aggiornare alla versione 0.9.8g-9.

Redazione ZN.