[Discussioni] GnuTLS: severe security bug

loredana llcfree a gmail.com
Dom 9 Mar 2014 17:59:57 CET


Da:

http://arstechnica.com/security/2014/03/critical-crypto-bug-leaves-linux-hundreds-of-apps-open-to-eavesdropping/

The bug in the GnuTLS library makes it trivial for attackers to bypass
secure sockets layer (SSL) and Transport Layer Security (TLS)
protections available on websites that depend on the open source
package. Initial estimates included in Internet discussions such as
this one indicate that more than 200 different operating systems or
applications rely on GnuTLS to implement crucial SSL and TLS
operations, but it wouldn't be surprising if the actual number is much
higher. Web applications, e-mail programs, and other code that use the
library are vulnerable to exploits that allow attackers monitoring
connections to
silently decode encrypted traffic passing between end users and servers.

Per intenderci, questo ha a che fare con gli accessi crittografati su
web, per esempio (https anziche' http).

Comporta l'accettazione di certificati che sicuri non sono, cioe'
possono derivare da siti che non sono i siti originali, senza che
l'utente lo sappia, dando il via a man-in-the-middle attacks, quelli
in cui qualcuno sta tra chi trasmette e chi riceve, "origliando" ma
non
solo, manipolando la comunicazione, che puo' essere decrittografata
perche' il sito e' fasullo e il certificato pure. Vale per email etc.

E' l'ennesimo esempio di quante false sicurezze uno si voglia creare,
aggrappandosi alla tecnologia. Particolarmente "toccante" perche' si
tratta, questa volta, non dell'NSA ma di software libero usato in
praticamente tutte le distribuzioni GNU/linux.

Per quel che riguarda debian:

https://www.debian.org/security/2014/dsa-2869

il problema si risolve con un semplice aggiornamente, che pero' VA
FATTO immediatamente per chi abbia debian squeezy o debian wheezy
installate senza aggiornamenti automatici.

Debian stable ha un meccanismo di aggiornamento che consente di fare
automaticamente tutti gli aggiornamenti di sicurezza, garantendo la
stabilita' del sistema (cioe' senza effetti collaterali che modificano
il comportantamento del sistema).

Bisogna tener a mente che per il fatto che il codice sia disponibile,
non e' affatto detto che qualcuno lo guardi davvero, a parte criminali
e agenzie di governo.

Loredana



More information about the discussioni mailing list