Bug in Debian Linux, le chiavi Ssl erano prevedibili

Grave falla nelle comunicazioni cifrate Ssl, usate per esempio per trasmettere i numeri di carta di credito durante gli acquisti. Colpite anche per le distribuzioni derivate, come la famosa Ubuntu.

Un bug nell'implementazione Debian di OpenSsl, versione libera del protocollo Secure Sockets Layer, ha scorrazzato libero per un anno e mezzo ma è stato scoperto solo ora. Bisogna sottolineare che il problema è stato prontamente risolto tramite il rilascio di una versione aggiornata.

Il protocollo Ssl è nato per rendere sicure le comunicazioni via Internet cifrandole; per far ciò si sfrutta chiavi generate affidandosi a un generatore di numeri pseudo-casuali.

Il problema è che a causa di una modifica non conforme alle specifiche Debian - si legge nel comunicato - risalente al settembre 2006, le chiavi generate sono prevedibili e ciò rappresente un rischio per la sicurezza. In pratica, i numeri che avrebbero dovuto essere totalmente casuali, in realtà sono prevedibili.

Gli utenti e gli amministratori di sistemi Debian devono aggiornare subito i propri computer. La prima versione affetta è la 0.9.8c-1 e nel periodo trascorso dalla sua creazione il bug si è propagato nelle distribuzioni etch e lenny, ossia l'attuale stable e la testing.

Il problema riguarda non solo le Debian pure, ma anche le derivate, come Ubuntu, che infatti ha a sua volta rilasciato un comunicato per mettere in guardia i propri utenti.

Possono invece stare tranquilli gli utenti della versione stabile precedente alla attuale, con il nome in codice sarge, e coloro che hanno già proceduto all'aggiornamento: per chi usa etch, la versione 0.9.8c-4etch3 è priva del bug, mentre gli utenti di sid e lenny devono aggiornare alla versione 0.9.8g-9.

Fonte: Zeus News