[Discussioni] GNUTLS - critical security bug
loredana
llcfree a gmail.com
Dom 9 Mar 2014 14:32:37 CET
Da:
http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/
The bug in the GnuTLS library makes it trivial for attackers to bypass
secure sockets layer (SSL) and Transport Layer Security (TLS)
protections available on websites that depend on the open source
package. Initial estimates included in Internet discussions such as this
one indicate that more than 200 different operating systems or
applications rely on GnuTLS to implement crucial SSL and TLS operations,
but it wouldn't be surprising if the actual number is much higher. Web
applications, e-mail programs, and other code that use the library are
vulnerable to exploits that allow attackers monitoring connections to
silently decode encrypted traffic passing between end users and servers.
Per intenderci, questo ha a che fare con gli accessi crittografati su
web, per esempio (https anziche' http).
Comporta l'accettazione di certificati che sicuri non sono, cioe'
possono derivare da siti che non sono i siti originali, senza che
l'utente lo sappia, dando il via a man-in-the-middle attacks, quelli in
cui qualcuno sta tra chi trasmette e chi riceve, "origliando" ma non
solo, manipolando la comunicazione, che puo' essere decrittografata
perche' il sito e' fasullo e il certificato pure. Vale per email etc.
E' l'ennesimo esempio di quante false sicurezze uno si voglia creare,
aggrappandosi alla tecnologia. Particolarmente "toccante" perche' si
tratta, questa volta, non dell'NSA ma di software libero usato in
praticamente tutte le distribuzioni GNU/linux.
Per quel che riguarda debian:
https://www.debian.org/security/2014/dsa-2869
il problema si risolve con un semplice aggiornamente, che pero' VA FATTO
immediatamente per chi abbia debian squeezy o debian wheezy installate
senza aggiornamenti automatici.
Debian stable ha un meccanismo di aggiornamento che consente di fare
automaticamente tutti gli aggiornamenti di sicurezza, garantendo la
stabilita' del sistema (cioe' senza effetti collaterali che modificano
il comportantamento del sistema).
Bisogna tener a mente che per il fatto che il codice sia disponibile,
non e' affatto detto che qualcuno lo guardi davvero, a parte criminali e
agenzie di governo.
Loredana
More information about the discussioni
mailing list