Una vulnerabilità è stata scoperta nel generatore di numeri casuali usato da OpenSSL su sistemi Debian e Ubuntu. Come risultato di questa vulnerabilità, alcune chiavi cifrate sono molto più comuni di quanto dovrebbero essere, tali che un ipotetico aggressore può scoprire la chiave con un attacco di forza bruta e usando un livello minimo di conoscenza del sistema.
Tutto questo affligge, in modo particolare, l'uso di chiavi cifrate in OpenSSH, Open VPN e SSL.
Questa vulnerabilità riguarda solamente i sistemi (come Ubuntu) basati su Debian. Non si può peraltro escludere che altri sistemi ne siano affetti, se le chiavi vulnerabili venissero importate al loro interno.
Si considera questa vulnerabilità estremamente seria, e si raccomanda a tutti gli utenti di intervenire con urgenza per mettere in sicurezza il proprio sistema.
Questo avviso si applica ugualmente alle versioni corrispondenti
di Kubuntu, Edubuntu e Xubuntu.
Il problema può essere corretto aggiornando il proprio sistema alle
seguenti versioni dei pacchetti:
Ubuntu 7.04:
libssl0.9.8 0.9.8c-4ubuntu0.3
Ubuntu 7.10:
libssl0.9.8 0.9.8e-5ubuntu3.2
Ubuntu 8.04 LTS:
libssl0.9.8 0.9.8g-4ubuntu3.1
In generale, un aggiornamento standard del sistema sarà sufficiente per
apportare i cambiamenti necessari.
Per i dettagli, questo è il
link all'annuncio ufficiale.
Kubuntu
Xubuntu
Edubuntu
