»

Odkrita resna varnostna pomankljivost v Debianovem naključnem generatorju števil za OpenSSL

Slo-Tech - Kot poročajo na poštnem seznamu Debianove skupine za zagotavljanje informacijske varnosti, je raziskovalec Luciano Bello odkril, da OpenSSL paket Linux distribucije Debian vsebuje predvidljiv generator naključnih števil.

Do napake je prišlo zaradi prilagoditev paketa distribuciji Debian, kar pomeni, da so neposredno prizadeti samo Debian in na njem temelječi sistemi (tudi Ubuntu!). Ranljivost vsebujejo vse različice openssl kasnejše od 0.9.8c-1, ki je bila sprejeta v Debianova skladišča 17. septembra 2007.

Zaradi ranljivosti se priporoča menjavo vseh kriptografskih ključev za SSH, OpenVPN, DSNSEC, SSL/TLS ter ključe uporabljene v X.509 certifikatih. Prav tako so kompromitirani tudi vsi DSA ključi uporabljeni za podpisovanje in avtentikacijo, saj Digital Signature Algorithm uporablja ranljivi naključni generator števil. GnuPG in GNUTLS ključi niso kompromitirani.

Uporabnikom Debiana, Ubuntuja in ostalih na Debianu temelječih distribucij svetujemo čimprejšnjo varnostno posodobitev...

48 komentarjev

Pekel, pardon, Sarge je zmrznil!

Slashdot - Preskusna veja Linuxove distribucije Debian, imanovana Sarge, je zamrznjena, kar pomeni, da so možne le še ročne posodobitve izdaje. Torej bo distribucija deležna le še redkih novih zmogljivosti in v kratkem lahko pričakujemo prvo uradno izdajo Debianove stabilne veje po treh letih. Razlog za počasnost izdajanja se skriva v podpori številnim arhitekturam (11) in velikemu številu programskih paketov - 9000 (oh, kako nekoristen podatek, če ne povemo, koliko paketov ima npr. Windows; a kdo ve?).

55 komentarjev

Bo Debian izhajal pogosteje?

ZDNet - Tudi pri Debianu so končno ugotovili, da je čas med njihovimi stabilnimi izdajami (Woody ima že skoraj 3 leta staro brado) absolutno predolg, zaradi česar jim tudi najzvestejši uporabniki uhajajo na druge distribucije Linuxa. Pravzaprav tako meni večji del kandidatov za položaj Debian Project Leader, ki se bodo 11. aprila pomerili za glasove 945 razvijalcev Debiana. Ena od zavor je tudi veliko število podprtih arhitektur. Prihajajoča izdaja Sarge tako utegne biti zadnja, ki bo podpirala kar 11 arhitektur, že naslednja (s kodnim imenom Etch) bo morda podpirala le še i386, AMD64, IA64 in PowerPC.

6 komentarjev

Debian GNU/Linux 3.0r3

OSNews - V času pričakovanja nove stabilne različice Sarge je izšla prenovljena izvedba sedanje stabilne različice distribucije Debian, ki je znana tudi pod imenom Woody. Že tretja izvedba Debiana 3.0 odpravlja varnostne pomanjkljivosti in tudi nekatere kritične napake. Če ste sistem nadgrajevali preko security.debian.org, ne boste občutili večje razlike. Za stabilne različice Debiana je značilno, da vsebujejo starejšo programsko opremo, ki je dobro preskušena in nadvse primerna za strežnike.

Demonstracija stabilnosti: KDE 2.2.2, Mozilla 1.0.0, Evolution 1.0.5, Gimp 1.2.3 ...

In še zanimiva pot do nameščenega Debiana.

9 komentarjev

Debian bo obdržal "non-free"

Slo-Tech - Kot smo že poročali, se je nekaj razvijalcev Debiana, priljubljene distribucije Linuxa, odločilo predložiti opustitev skupine programskih paketov "non-free", ki ji pripadajo paketi z neustrezno licenco, ki ni v skladu z načeli Debiana. Slab mesec po predlogu so na voljo rezultati volitev.

Kljub "prostosti" in "odprtosti" omenjene distribucije Linuxa, predlog ni dobil zadostne podpore. Potreboval je kar tričetrtinsko večino, dobil pa ni niti navadne. Seznam glasovalcev in rezultati glasovanja.

1 komentar