Repository 32bit  Forum
Repository 64bit  Wiki

falla su Debian

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

falla su Debian

Messaggioda lucif3r0 » gio mag 15, 2008 17:20

http://lists.debian.org/debian-security ... 00152.html
annuncio per chi usa Debian, preciso che la falla
non colpisce le Debian based.
Avatar utente
lucif3r0
Linux 2.6
Linux 2.6
 
Messaggi: 617
Iscritto il: mar mag 10, 2005 23:00
Slackware: 13.1
Kernel: 2.6.33.4
Desktop: KDE 4.3

Re: falla su Debian

Messaggioda sir_alex » gio mag 15, 2008 18:42

lucif3r0 ha scritto:http://lists.debian.org/debian-security-announce/2008/msg00152.html
annuncio per chi usa Debian, preciso che la falla
non colpisce le Debian based.


Mica vero, Ubuntu è stata colpita.
sir_alex
Linux 2.6
Linux 2.6
 
Messaggi: 735
Iscritto il: lun mar 21, 2005 0:00
Località: Milano - Corbola (RO)
Kernel: 2.6.35-22
Desktop: KDE4
Distribuzione: Ubuntu

falla su Debian

Messaggioda birg81 » ven mag 16, 2008 0:26

:evil: :badgrin: =D>
birg81
Linux 2.6
Linux 2.6
 
Messaggi: 760
Iscritto il: lun gen 16, 2006 10:57
Località: Castellammare di Stabia (NA)
Nome Cognome: Biagio
Slackware: 12.2
Kernel: 3.4.7
Desktop: LxDE
Distribuzione: ArchLinux

Re: falla su Debian

Messaggioda lucif3r0 » ven mag 16, 2008 10:37

non sapevo di Ubuntu, anche perchè il
comunicato Debian diceva il contrario
...
bugiardi :D
Avatar utente
lucif3r0
Linux 2.6
Linux 2.6
 
Messaggi: 617
Iscritto il: mar mag 10, 2005 23:00
Slackware: 13.1
Kernel: 2.6.33.4
Desktop: KDE 4.3

Re: falla su Debian

Messaggioda gioco » ven mag 16, 2008 11:22

This is a Debian-specific vulnerability which does not affect other
operating systems which are not based on Debian.

Questa è una vulnerabilità specifica di Debian che non colpisce altri sistemi operativi che non sono basati su Debian.

Coinvolge cioè anche le Debain-based. Le *buntu sono colpite dato che prendono i pacchetti di Debian ramo unstable, patch incluse.
Avatar utente
gioco
Packager
Packager
 
Messaggi: 900
Iscritto il: sab giu 18, 2005 23:00
Località: in the court of the Wesnoth king
Slackware: last stable

Re: falla su Debian

Messaggioda sid77 » ven mag 16, 2008 11:46

...e tutte le altre macchine su cui sono state caricate chiavi o certificati creati da una macchina debian o derivate affetta dal problema.
siete proprio sicuri di non volervi fare un check con i tool e i db rilasciati da debian o metasploit sui vostri server?
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Re: falla su Debian

Messaggioda phobos3576 » ven mag 16, 2008 13:58

In ogni caso questa faccenda è veramente imbarazzante per tutto il mondo Linux notoriamente conosciuto per la meticolosa attenzione rivolta alla sicurezza; è vero che la falla è stata tappata dopo appena un pomeriggio di attesa ma, a quanto sembra, la cosa andava avanti da almeno due anni!!!
Un generatore di numeri casuali che genera numeri prevedibilissimi è una roba da dilettanti che ci riporta indietro, sino ai tempi di MS-DOS, quando si usavano algoritmi piuttosto grossolani.

Mi chiedo poi come mai la cosa riguardi solo le distribuzioni Debian based, visto che i sorgenti di OpenSSL dovrebbero essere uguali per tutte le distribuzioni; suppongo allora che anche quelli di Debian abbiano il brutto vizio di usare dei package patchati da loro forse con troppa supponenza.
Qualche anno fa quelli di Mandrake (prima che diventasse Mandriva) patcharono il kernel con il risultato di gravi malfunzionamenti hardware su alcuni PC!
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: falla su Debian

Messaggioda conraid » ven mag 16, 2008 14:02

phobos3576 ha scritto:Mi chiedo poi come mai la cosa riguardi solo le distribuzioni Debian based, visto che i sorgenti di OpenSSL dovrebbero essere uguali per tutte le distribuzioni; suppongo allora che anche quelli di Debian abbiano il brutto vizio di usare dei package patchati da loro forse con troppa supponenza.


supponenza o no è notorio che il team di sviluppatori Debian applica patch ai programmi. Alcune patch riprese anche altrove, anche Pat a volte le prende.
Più che altro, essendo visibili e conosciute a molti, che non se ne sia accorto nessuno è "preoccupante". Sembra quasi che anche nel mondo open source prendiamo i programmi come nel mondo closed, senza controllare cosa effettivamente fanno
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: falla su Debian

Messaggioda sid77 » ven mag 16, 2008 14:14

phobos3576 ha scritto:Mi chiedo poi come mai la cosa riguardi solo le distribuzioni Debian based, visto che i sorgenti di OpenSSL dovrebbero essere uguali per tutte le distribuzioni

patch incriminata: http://ftp.de.debian.org/debian/pool/ma ... -4.diff.gz
alla riga 627 si legge:
Codice: Seleziona tutto
--- openssl-0.9.8c.orig/crypto/rand/md_rand.c
+++ openssl-0.9.8c/crypto/rand/md_rand.c
@@ -271,7 +271,10 @@

...

+/*
+ * Don't add uninitialised data.
MD_Update(&m,buf,j);
+*/

...

+#if 0 /* Don't add uninitialised data. */
MD_Update(&m,buf,j); /* purify complains */
#endif
+#endif

hanno commentato le chiamate a "MD_Update(&m,buf,j);" perchè Valgrind si lamentava dell'utilizzo di memoria non inizializzata. Peccato che quelle due chiamate servissero a randomizzare il seed del generatore. Risultato? il seed era pari esclusivamente al PID del processo :|

Lezione che ci hanno insegnato? Mai mettere le mani dove non ne sai nulla [-X
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Re: falla su Debian

Messaggioda phobos3576 » ven mag 16, 2008 14:55

sid77 ha scritto:Lezione che ci hanno insegnato? Mai mettere le mani dove non ne sai nulla [-X

Questo fatto è a dir poco inquietante!
Praticamente non si sono presi la briga nemmeno di andare ad analizzare le conseguenze delle modifiche da loro apportate; segno evidente che chi ha fatto una cosa del genere non aveva la minima competenza in materia!

... e intanto, dobbiamo sorbirci le prese per il c ....

Immagine
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: falla su Debian

Messaggioda lucif3r0 » ven mag 16, 2008 17:04

cavolo avevo letto male... perdono, ultimamente
sono eccessivamente (avevo scritto esseccivamente,
nda) sotto sforzo... a proposito di prese per il c...
avevo trovato anche il fumetto nel sitino nerd ma
non trovo più l'indirizzo :cry:
Avatar utente
lucif3r0
Linux 2.6
Linux 2.6
 
Messaggi: 617
Iscritto il: mar mag 10, 2005 23:00
Slackware: 13.1
Kernel: 2.6.33.4
Desktop: KDE 4.3

Re: falla su Debian

Messaggioda phobos3576 » ven mag 16, 2008 20:52

lucif3r0 ha scritto:... a proposito di prese per il c...
avevo trovato anche il fumetto nel sitino nerd ma
non trovo più l'indirizzo :cry:

Nel mentre che lo stai cercando, eccone un altro tratto da Zeus News:

Immagine
Avatar utente
phobos3576
Staff
Staff
 
Messaggi: 2980
Iscritto il: sab apr 16, 2005 23:00
Slackware: 13.1
Kernel: 2.6.37-smp
Desktop: KDE 4.5.3

Re: falla su Debian

Messaggioda Vito » ven mag 16, 2008 22:11

non l'hanno ancora riparate questa falla ? nessuna nuova patch?
"Stat rosa pristina nomina, nomina nuda tenemus." [ Umberto Eco - Il nome della rosa]

"Faber est suae quisque fortunae ." [ Appio Claudio Cieco]
Avatar utente
Vito
Staff
Staff
 
Messaggi: 4135
Iscritto il: mar dic 05, 2006 17:28
Località: Augsburg (DE)
Nome Cognome: Vito
Slackware: 64 14.0 multilib
Kernel: 3.2.29-xps
Desktop: KDE 4.10.2
Distribuzione: Linux Mint 17

Re: falla su Debian

Messaggioda sir_alex » ven mag 16, 2008 22:36

Come già scritto, il pomeriggio stesso c'erano le patch, se seguite apt-get upgrade (sui repository security) quotidianamente allora vi sono stati sicuramente aggiornati... occhio alle chiavi ssh, che ovviamente sono state rigenerate e quelle esistenti sono state messe in blacklist, se vi connettete a pc con ssh potreste avere problemi!
sir_alex
Linux 2.6
Linux 2.6
 
Messaggi: 735
Iscritto il: lun mar 21, 2005 0:00
Località: Milano - Corbola (RO)
Kernel: 2.6.35-22
Desktop: KDE4
Distribuzione: Ubuntu


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite