[funny] per tutti gli ubuntisti all'ascolto

Ciao Lista!

Come potete vedere qui sotto Randall Munroe ne ha per tutti, ma mi piace
mettere in evidenza l'ultima riga del suo disegno di oggi:

http://xkcd.com/424/

Ciao :slight_smile:

DAniele

Credo che la vignetta riporti un problema
con l'open ssl che si e' scoperto da poco
in debian / ubuntu ?

Credo che la vignetta riporti un problema
con l'open ssl che si e' scoperto da poco
in debian / ubuntu ?

La vignetta riporta una mega-ca***** che Debian
ha fatto nel pacchettizzare OpenSSL due anni fa.

> Credo che la vignetta riporti un problema
> con l'open ssl che si e' scoperto da poco
> in debian / ubuntu ?

La vignetta riporta una mega-ca***** che Debian
ha fatto nel pacchettizzare OpenSSL due anni fa.

--

Per chi non fosse al corrente della situazione:
consiglio a tutti gli utenti Debian/Ubuntu
di applicare i recenti securiy updates:

  apt-get update && apt-get upgrade

&& apt-get dist-upgrade

(!)

Sulla mia chiave dice:

sudo ssh-vulnkey -a
Unknown (no blacklist information): NNNN NNNNNNNNNNNN

Vuol dire che e' ok o non ha la blacklist?

Sulla mia chiave dice:

sudo ssh-vulnkey -a
Unknown (no blacklist information): NNNN NNNNNNNNNNNN

Vuol dire che e' ok o non ha la blacklist?

L'hai generata prima del 2006? -> e` ok

Altrimenti rigenerala per sicurezza (potrebbe essere che
l'avevi generato con una lunghezza non di default, nel
qual caso non e` nota alla blacklist, ma e` cmq vulnerabile).

Bye,
Chris.

L'ho generata ad aprile 2008. Ok, ho provveduto a
togliere la chiave pubblica dal server per il momento ...

... poi appena mi riserve ne genero un'altra!

GRAZIE Chris per aver detto cosi' chiaramente che bisognava
agire! Io avrei pensato che non eravamo tutti coinvolti :frowning:

Centrano anche i certificati per https? Per esempio gmail
ha il certificato generato nel 2008. E per quel che riguarda
le chiavi per apt-get ?

Mi sa che nel prossimo periodo ci sara' parecchio da
"ballare" ... adesso che sono passati alcuni giorni ...
... sicuramente gli hacker si saranno attrezzati per
andare a beccare un sacco di account in giro.

OCCHI APERTI!

PS: per il pacchetto openssl-blacklist e ssl-cert
ho dovuto fare un dist-upgrade, un upgrade
non bastava.

L'ho generata ad aprile 2008. Ok, ho provveduto a
togliere la chiave pubblica dal server per il momento ...

Se l'avevi generato in aprile su Debian oopure Ubuntu era sicuramente
vulnerabile: hai fatto bene a toglierla...

... poi appena mi riserve ne genero un'altra!

GRAZIE Chris per aver detto cosi' chiaramente che bisognava
agire! Io avrei pensato che non eravamo tutti coinvolti :frowning:

Centrano anche i certificati per https?

Purtroppo si.
Se ti sei fatto segnare una tua chiave e il caso di rifartela
segnare:

http://wiki.debian.org/SSLkeys#head-5450db0076b3d85650f72117a9884f89d2349032

piu` info qui:

http://blog.CAcert.org/2008/05/302.html

(solo per chi opera un proprio server HTTPS)

Per esempio gmail
ha il certificato generato nel 2008. E per quel che riguarda
le chiavi per apt-get ?

Va beh, non ti preoccupare per le chiavi altrui. Suppongo
che Google sappia cosa fa :wink:

Mi sa che nel prossimo periodo ci sara' parecchio da
"ballare" ... adesso che sono passati alcuni giorni ...
... sicuramente gli hacker si saranno attrezzati per
andare a beccare un sacco di account in giro.

Uhm... temo che il crackabile e` stato crackato ormai...

E guarda che ti bastoniamo se chiami i cracker, hacker, eh? :wink:

Bye,
Chris.

Si hai ragione, cracker e hacker sono due cose ben
diverse!

Ho sempre nella testa un'idea. Cogliendo spunto da
questo problema di openssl che, se non sbaglio,
cercavano attraverso un software di controllare
ev. problemi di variabili non inizializzate,
come sarebbe i sistemi operativi se fossero fatti
interamente in java che non ha aritmentica dei puntato,
e' fortemente tipizzato, non e' possibile forzare
una struttura su un'altra ...
Insomma creare i propri driver e applicazioni native
in eclipse, con tutti i vantaggi che l'ide ti dice tutte
le dipendenze non rispettate, ecc ...

Qualcosa del genere esiste

http://en.wikipedia.org/wiki/JNode

ma e' molto embrionale. E' un misto tra
linux e una virtual machine java ... ma a
parte il dialogo con l'hardware ... tutto il
resto e' gestito da java...

Un sistema operativo object oriented, fortemente
tipizzato, secondo me sarebbe una figata !!!

Immaginiamo per esempio che il sistema stesso
mette a disposizione delle interfacce per il file
system, ecc...