Grosse crepe nella sicurezza di OpenSSL

L'implementazione open source del diffusissimo protocollo di sicurezza SSL è afflitta da alcuni grossi buchi di sicurezza che potrebbero aprire le porte ai cracker. Già disponibili e pronte da installare le patch necessarie


Roma – OpenSSL, una diffusa implementazione open source dei protocolli di sicurezza Secure Sockets Layer (SSL) e Transport Layer Security (TLS), utilizzati per fornire una connessione sicura fra client (tipicamente un browser Web) e server, è afflitta da alcune gravi vulnerabilità che, secondo quanto riportato da un advisory ufficiale di OpenSSL.org , potrebbero essere sfruttate da un aggressore per eseguire del codice da remoto sul sistema vittima o per lanciare attacchi di tipo denial of service (DoS).

Le falle consistono in quattro buffer overflow – tre contenuti nei processi di handshake di SSLv2 e SSLv3 e uno contenuto nel codice per la rappresentazione ASCII degli interi – e in un bug nelle routine di codifica del parser ASN.1. L’ultima delle vulnerabilità, la meno grave, può essere sfruttata solo per attacchi di tipo DoS.

I buffer overflow interessano tutte le versioni di OpenSSL più recenti della 0.9.6.e o, per quanto riguarda le pre-release, più recenti della 0.9.7-beta3. I server che adottano la versione 0.9.6d su sistemi a 32 bit con SSL 2.0 disabilitato non sono invece vulnerabili. Il bug nella codifica ASN.1 riguarda invece tutti i programmi OpenSSL che si avvalgono della libreria ASN.1 per analizzare i dati untrusted, fra cui le varie implementazioni dei protocolli SSL, TLS, S/MIME e PKCS#7.

OpenSSL.org ha già reso disponibili su questa pagina nuove versioni non vulnerabili di OpenSSL, la 0.9.6.e e la 0.9.7-beta3, e due patch per la 0.9.6d e la 0.9.7-beta2 .

OpenSSL.org dichiara che al momento non è a conoscenza di exploit volti a sfruttare queste falle di sicurezza, in ogni caso sollecita gli amministratori di sistema ad aggiornare quanto prima i propri server.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    wc.net?
    l'ethernet nel cesso dehehe
  • Anonimo scrive:
    cioè, in pratica...
    cioè, in pratica CE è basato sul kernel NT come XP, ma: si è liberato di tutto il supporto al vecchio 16 bit di M$... è ottimizzato per occupare meno spazio, ergo ha sacrificato molte delle str.nz4tine magia spazio, mangia ram e crea-conflitti di cui sono ricchi tutti i winzozz... supporta già una architettura a 64 bit...Aho! ma ce state a piglià per il c.?CE è molto meglio di qualunque altro sistema operativo Windows in circolazione! Per certi versi (i tre sopra descritti) sarà incomparabilmente migliore anche di Longhorn in fatto di uptime, affidabilità, sicurezza e utilizzo delle risorse!E lo usano per i palmari! Azzo, lo volglio sul mio Win serverino!Certo, dato che hanno il monopolio possono permettersi di pigliarci per il c., tanto il loro sw scadente per x86 ce lo fanno comprare lo stesso.Che tristezza!
    • Anonimo scrive:
      Re: cioè, in pratica...
      - Scritto da: tristano
      E lo usano per i palmari! Azzo, lo volglio
      sul mio Win serverino!
      Certo, dato che hanno il monopolio possono
      permettersi di pigliarci per il c., tanto il
      loro sw scadente per x86 ce lo fanno
      comprare lo stesso.
      Che tristezza!scusa, tu quanto hai pagato la copia originale di windows o di office che hai a casa?
  • Anonimo scrive:
    bastards
    c'era una volta un palmare ma e' caduto dopo 7 ore dall'acquisto... sniff...e' come girare il coltello nella piaga
    • Anonimo scrive:
      Re: bastards
      - Scritto da: luke977
      c'era una volta un palmare ma e' caduto dopo
      7 ore dall'acquisto... sniff...
      e' come girare il coltello nella piagamica è colpa loro se sei goffo... :)))
      • Anonimo scrive:
        Re: bastards
        - Scritto da: spino
        - Scritto da: luke977

        c'era una volta un palmare ma e' caduto
        dopo

        7 ore dall'acquisto... sniff...

        e' come girare il coltello nella piaga

        mica è colpa loro se sei goffo... :)))Pare che il nuovo so gestisca la nuova tecnologia G- che sfruttando l'antigravità impedisce ai palmari di cadere a terra.
        • Anonimo scrive:
          Re: bastards
          - Scritto da: Vaira
          Pare che il nuovo so gestisca la nuova
          tecnologia G- che sfruttando l'antigravità
          impedisce ai palmari di cadere a terra.Non solo, ma fà crepare il display a tutti i Palm, Psion, etc. nel raggio di 200mt, formattandoli anche... :)
          • Anonimo scrive:
            Re: bastards
            grandioso cosi' mi vendico pure ;P- Scritto da: spino


            - Scritto da: Vaira

            Pare che il nuovo so gestisca la nuova

            tecnologia G- che sfruttando l'antigravità

            impedisce ai palmari di cadere a terra.

            Non solo, ma fà crepare il display a tutti i
            Palm, Psion, etc. nel raggio di 200mt,
            formattandoli anche... :)
          • Anonimo scrive:
            Re: bastards
            - Scritto da: luke977
            grandioso cosi' mi vendico pure ;PMa dai... :)
Chiudi i commenti