Bug in Debian Linux, le chiavi Ssl erano prevedibili.

Dalla Redazione ZN.

Grave falla nelle comunicazioni cifrate Ssl, usate per esempio per trasmettere i numeri di carta di credito durante gli acquisti. Colpite anche per le distribuzioni derivate, come Ubuntu.

[ZEUS News, 15-05-2008.

Un bug nell'implementazione Debian di OpenSsl, versione libera del protocollo Secure Sockets Layer, ha scorrazzato libero per un anno e mezzo ma  stato scoperto solo ora. Bisogna sottolineare che il problema  stato prontamente risolto tramite il rilascio di una versione aggiornata.

Il protocollo Ssl  nato per rendere sicure le comunicazioni via Internet cifrandole; per far ci si sfrutta chiavi generate affidandosi a un generatore di numeri pseudo-casuali. Il problema  che a causa di una modifica non conforme alle specifiche Debian - si legge nel comunicato risalente al settembre 2006, le chiavi generate sono prevedibili e ci rappresente un rischio per la sicurezza.

In pratica, i numeri che avrebbero dovuto essere totalmente casuali, in realt sono prevedibili. Gli utenti e gli amministratori di sistemi Debian devono aggiornare subito i propri computer. La prima versione affetta  la 0.9.8c-1 e nel periodo trascorso dalla sua creazione il bug si  propagato nelle distribuzioni etch e lenny, ossia l'attuale stable e la testing.

Il problema riguarda non solo le Debian pure, ma anche le derivate, come Ubuntu, che infatti ha  sua volta rilasciato un comunicato per mettere in guardia i propri utenti.

Possono invece stare tranquilli gli utenti della versione stabile precedente alla attuale, con il nome in codice sarge, e coloro che hanno gi proceduto all'aggiornamento: per chi usa etch, la versione 0.9.8c-4etch3  priva del bug, mentre gli utenti di sid e lenny devono aggiornare alla versione 0.9.8g-9.

Redazione ZN.

