Problemi di sicurezza in OpenSSL

[DktrKranz]

E' stata scoperta una vulnerabilità in OpenSSL per la quale è stata rilasciato un aggiornamento di sicurezza per tutte le versioni stabili di Ubuntu e Debian.

Non appena aggiornato il pacchetto, provvedete immediatamente a creare una nuova coppia di chiavi SSL siccome vi è un alto rischio di uso improprio da parte di terzi, questo è particolarmente vero nei progetti su Launchpad (che fa uso delle chiavi per il push nei repository bzr) o nelle infrastrutture di Debian.

Non appena in possesso della nuova chiave pubblica, procedete alla nuova pubblicazione nel vostro profilo in Launchpad, siccome la quasi totalità delle chiavi è stata cancellata d'ufficio per evitare abusi. Onde evitare problemi futuri, procedete alla cancellazione della vecchia.


-- EDIT --
Una volta aggiornato il sistema la chiave SSH del sistema verrà automaticamente rigenerata, mentre le singole chiavi degli utenti vanno rigenerate manualmente. È possibile usare il comando (avendo installato il pacchetto openssh-client e openssh-blacklist):

Codice:

sudo ssh-vulnkey -a

per visualizzare le chiavi presenti, quelle con accanto scritto "COMPROMISED" vanno rigenerate.

È consigliabile anche rimuovere il file .ssh/known_hosts da tutti gli utenti del computer dato che è molto probabile che appunto gli Host noti abbiano aggiornato la loro chiave SSH e quindi al prossimo tentativo di login si riceverà un errore che avverte che la chiave SSH del server a cui ci sta collegando è cambiata.

Per chi non usa le chiavi SSH o non sa cosa siano, un normale aggiornamento del sistema è più che sufficiente!

[Alex69rm]

scusate.. ho ubuntu 8.04... come si aggiorna il pacchetto?

[urturino]

scusate.. ho ubuntu 8.04... come si aggiorna il pacchetto?

sistema>amministrazione>gestore aggiornamenti e fai click su aggiorna, ti escono gli aggiornamenti e li installi.

[catania]

@DktrKranz scusa la mia ignoranza ma cosa sono le chiavi Open SSL???
non ho capito bene cosa devo fare???

[Volans]

Il problema con il pacchetto per Gutsy è stato appena risolto, ricaricando la lista dei pacchetti da Sistema -> Amministrazione -> Gestore aggiornamenti ed installando gli aggiornamenti segnalati tutto verrò risolto.

@catania: segui la regolare procedura di aggiornamento, riguarda le chiavi SSH per le connessioni remote sicure.

[alberto t.]

ciao

Non appena aggiornato il pacchetto, provvedete immediatamente a creare una nuova coppia di chiavi SSL

Non appena in possesso della nuova chiave pubblica, procedete alla nuova pubblicazione nel vostro profilo in Launchpad, siccome la quasi totalità delle chiavi è stata cancellata d'ufficio per evitare abusi. Onde evitare problemi futuri, procedete alla cancellazione della vecchia.

come faccio??

[taboom]

Scusate ... per chi capisce il 20 % circa di quello di cui state parlando.
Si potrebbero avere dei dettagli su come, dopo effettuati gli aggiornamenti, eseguire quelle operazioni di cui parlate?
Ve ne sarei enormemente grato ... e credo una gran parte dei nuovi utenti Ubuntu sia d'accordo.
Grazie.

[catania]

@volans 

Codice:

segui la regolare procedura di aggiornamento, riguarda le chiavi SSH per le connessioni remote sicure.

come si fa non lo mai fatta scusa l'ignoranza

[Volans]

L'aggiornamento va eseguito per avere un sistema sempre aggiornato e privo di bug noti, la rigenerazione delle chiavi è automatica per quella del sistema durante l'installazione del pacchetto, mentre quelle create dall'utente vanno rigenerate, sempre che sul sistema siano state generate chiavi SSH personali.

Il problema riguarda le chiavi SSH quindi se non ne avete mai generate o non sapete cosa siano un normalissimo aggiornamento del sistema è sufficiente.

[Volans]

Aggiungo che si può usare il comando:

Codice:

sudo ssh-vulnkey -a

per avere una lista delle chiavi presenti sul sistema, nel caso ci sia scritto "COMPROMISED" allora va rigenerata DOPO l'aggiornamento dei pacchetti.

[catania]

grazie tante ho capito. siccome non ho mai generato chiavi personali faccio un aggiornamento e via.

grazie ancora.

[taboom]

Ok. Quindi con l'aggiornamento automatico che il sistema esegue autonomamente ogni giorno dovrebbe andare tutto a posto da solo anche se non torno a casa apposta ?

[Volans]

Si, chiaramente se si tratta di un server con accesso ssh aperto dall'esterno è importante aggiornare il prima possibile

[taboom]

Certo. Naturalmente alle dieci quando esco da lavoro aggiorno subito, se non lo ha fatto autonomamente.... anche se ho la versione desktop e non ho dati sensibili all'interno. Era solo per capire e far capire un po' a tutti se con gli aggiornamenti automatici si risolveva.... perché capisco che quando si è pratici, si tende a semplificare cose che magari allarmano molto chi lo è meno (come ad esempio me). Comunque per chi ha una versione server penso che sia una cosa abbastanza impellente da risolvere.
Grazie dell'aiuto e complimenti a questa comunità.

[Volans]

Ho aggiunto alcune indicazioni pratiche nel primo post per completezza.

[turnick]

io ho aggiornato e dando il comando che avete detto mi vengono fuori due scritte COMPROMISED, come faccio a rigenerarli?

[loolee]

a me dice che non ho aggiornamenti da fare... come mai?

[alberto t.]

ciao

a me dice che non ho aggiornamenti da fare... come mai?

forse lo hai già aggiornato in passato...

[Volans]

Dipende da come le hai generate, tipicamente se sono chiavi dell'utente salvate nel file predefinito .ssh/id_rsa basta dare:

Codice:

ssh-keygen -b 2048

scegliere il percorso o lasciare quello predefinito se si vuole sovrascrivere quella vecchia e digitare la password e ripeterla.

@loolee:
prova a ricaricare la lista dei pacchetti cliccando su Verifica da Sistema -> Amministrazione -> Gestore aggiornamenti

[Alex69rm]

a me dice che non ho aggiornamenti da fare... come mai?

anche a me.. ma poi ho premuto su "check" (QUELLO CON L'ICONA BLU) E mi sono usciti 12 aggiornamenti..