Tempo fa ha fatto molto scalpore la vicenda legata ad una patch che chiudendo un buco ha creato una voragine sul meccanismo di creazione casuale delle chiavi ssh in debian.
Ed oggi anche red hat è caduta in una situazione simile come si può leggere sul comunicato pubblicato oggi sulla mailing list…
Il bug è stato scoperto perchè la scorsa settimana a quanto pare, qualcuno è riuscito ad entrare in alcuni dei server della red hat ma non solo; uno dei server bucati è quello dedicato alla firma dei pacchetti red hat, fortunatamente la password di sblocco delle chiavi, necessaria per firmare i pacchetti dei repository, non è salvata su nessun server quindi il team RH si sente di garantire che l’integrità dei pacchetti non è stata compromessa, tuttavia è stato deciso per motivi di sicurezza di effettuare un hardening del sistema di firma dei pacchetti in via precauzionale.
Sempre nella giornata di oggi è stato pubblicato ufficialmente il security advisory, riportato anche da secunia.
Mentre tutti i sysadmin RH sono invitati ad effettuare un check dei propri server per verificare che il pacchetto openssh non sia compromesso tramite questo script.
| |
M0rF3uS al secolo Alex è un ggiovine 25enne appassionato di informatica e linux. Lavora come Network and System Administrator e nel tempo libero gioca un pò con la sua fotocamera (Canon EOS 1000D) riuscendo a volte, per sbaglio, a fare qualche scatto decente. Completano il corredo, degli hobbies "vorrei ma non posso" ossia l'astronomia e l'astronautica....si è uno di quelli che da grande vorrebbe fare l'astronauta (povero coglione vero?).
Loading ...
Ma la causa del bug di
Ma la causa del bug di sicurezza è lo stesso?
La generazione non tanto random delle chiavi crittografiche oppure qualcos’altro?
non è stato specificato,
non è stato specificato, credo di no comunque. La causa principale è che gli hanno bucato i server quindi sicuramente c’è qualcosa che non va.