Roma – OpenSSL, una diffusa implementazione open source dei protocolli di sicurezza Secure Sockets Layer (SSL) e Transport Layer Security (TLS), utilizzati per fornire una connessione sicura fra client (tipicamente un browser Web) e server, è afflitta da alcune gravi vulnerabilità che, secondo quanto riportato da un advisory ufficiale di OpenSSL.org , potrebbero essere sfruttate da un aggressore per eseguire del codice da remoto sul sistema vittima o per lanciare attacchi di tipo denial of service (DoS).
Le falle consistono in quattro buffer overflow – tre contenuti nei processi di handshake di SSLv2 e SSLv3 e uno contenuto nel codice per la rappresentazione ASCII degli interi – e in un bug nelle routine di codifica del parser ASN.1. L’ultima delle vulnerabilità, la meno grave, può essere sfruttata solo per attacchi di tipo DoS.
I buffer overflow interessano tutte le versioni di OpenSSL più recenti della 0.9.6.e o, per quanto riguarda le pre-release, più recenti della 0.9.7-beta3. I server che adottano la versione 0.9.6d su sistemi a 32 bit con SSL 2.0 disabilitato non sono invece vulnerabili. Il bug nella codifica ASN.1 riguarda invece tutti i programmi OpenSSL che si avvalgono della libreria ASN.1 per analizzare i dati untrusted, fra cui le varie implementazioni dei protocolli SSL, TLS, S/MIME e PKCS#7.
OpenSSL.org ha già reso disponibili su questa pagina nuove versioni non vulnerabili di OpenSSL, la 0.9.6.e e la 0.9.7-beta3, e due patch per la 0.9.6d e la 0.9.7-beta2 .
OpenSSL.org dichiara che al momento non è a conoscenza di exploit volti a sfruttare queste falle di sicurezza, in ogni caso sollecita gli amministratori di sistema ad aggiornare quanto prima i propri server.
Ti potrebbe interessare
1 ago 2002