Vulnerabilità OpenSSL Debian

May 13, 2008

Il 13 Maggio 2008 il progetto Debian ha comunicato che un aggiornamento del pacchetto OpenSSL Debian emesso nel 2006 conteneva una vulnerabilità in grado di indebolire il generatore casuale di combinazioni numeriche, rendendo di conseguenza la criptazione SSL e la relativa autenticabilità prevedibili. Questo stato di vulnerabilità é specifico di Debian e non interessa nessun altro sistema operativo. Tuttavia, un sistema operativo differente potrebbe comunque essere colpito da tale vulnerabilità nel caso utilizzi chiavi di crittografia provenienti da sistemi Debian.

Trustico® Debian OpenSSL Vulnerability Support Image

Patch Debian & Use Issuance Insurance

A seguito di questa situazione, Debian ha emesso una patch in grado di prevenire eventuali vulnerabilità successive ma non di agire su quelle passate. Pertanto, per i sistemi Debian, a partire dalla versione 0.9.ec-1, é raccomandabile ricreare da zero qualsiasi chiave di criptazione generata con OpenSSL. Per ottenere maggiori informazioni sulla vulnerabilità e sul relativo patch, si consiglia di leggere il seguente comunicato emesso da Debian DSA-1571-1.

Per risolvere questo problema :

11. Scarica ed installa la patch fornita da Debian all'interno del comunicato di sicurezza DSA-1571-1.

2. Sostituisci ogni Certificato SSL interessato. GeoTrust® consente la revoca e la sostituzione, per un tempo limitato e senza alcun costo aggiuntivo per l'utente, di tutti i Certificati soggetti a tale vulnerabilità. In fase di generazione di una nuova CSR (Certificate Signing Request) é importante assicurarsi che le informazioni del certificato (Distinguished Name) siano identitiche a quelle del Certificato esistente.

3. Se sei in possesso di un Certificato SSL RapidSSL®, GeoTrust® o Thawte®, e desideri usufruire della copertura assicurativa gratuita, visita il sito internet GeoTrust® cliccando qui.

4. Se hai dei dubbi sullo stato del tuo sistema operativo, contattaci per utilizzare il rilevatore di chiave debole pubblicato da Debian.

Nota: l'assicurazione di emissione gratuita verrà concessa solo ai clienti realmente affetti da tale vulnerabilità