LibreSSL, fork più bucata dell'originale

La libreria che dovrebbe sostituire il problematico progetto OpenSSL mette in mostra falle potenzialmente persino peggiori dell'originale. Ma gli sviluppatori sono lesti a rilasciare una patch correttiva

Roma – Un pericoloso bug di sicurezza è stato scovato e subito corretto in LibreSSL, fork del progetto OpenSSL che ambisce a risolvere i molti problemi di quest’ultimo per evitare la comparsa di un nuovo bug “catastrofico” dello stesso livello dell’oramai famigerato Heartbleed .

Il nuovo baco di LibreSSL, individuato dal ricercatore Andrew Ayer, avrebbe potuto in realtà avere conseguenze persino peggiori di Heartbleed visto che riguardava il componente integrato per la generazione di numeri casuali (PRNG o Pseudo Random Number Generator). In certe specifiche condizioni, ha spiegato Ayer, il PRNG avrebbe potuto generare due numeri perfettamente identici aprendo le porte a ogni genere di attacco; a peggiorare la situazione c’è il fatto che un tale bug non è presente nemmeno nel super-bucato e mal gestito OpenSSL.

Il team di OpenBSD – responsabile del fork e dello sviluppo di LibreSSL – ha in realtà provato a ridimensionare la potenziale minaccia parlando di allarmi eccessivi e descrivendo il bug come un qualcosa che non sarebbe mai potuto succedere nel “codice reale” della libreria.

Giusto per essere sicuri, a ogni modo, gli sviluppatori hanno provveduto a rilasciare una patch in grado di eliminare il bug in LibreSSL. La patch arriva ad aggiornare un software che appena due giorni prima era stato rilasciato in versione 2.0 , una release pensata per riaffermare la vocazione alla “portabilità” di LibreSSL con l’eliminazione della gran parte delle dipendenze che ne impedivano l’utilizzo su sistemi operativi Unix-like diversi da OpenBSD.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Funz scrive:
    3,2 milioni di scaricanti accertati
    Visto che il numero degli scaricanti effettivi sarà un ordine di grandezza superiore di quello dei diffidati, direi che è ora di togliere il cartello di divieto...
  • bubba scrive:
    1,5 milioni buttati...
    pensavo ai 333.723 che hanno ricevuto una raccomandata A.R ..... se usiamo i costi minimi nostri.. son 4.3eu a cranio. = 333723 * 4.3 = 1435000 eu!se avessero REGALATO questi soldi ad artisti supposti indigenti o cmq dalle entrate minime, avrebbero ottenuto un risultato ENORMEMENTE maggiore di questa robba autoreferenziale, dannosa e inutile...
  • prova123 scrive:
    Haute Autorité
    il ruolo di HADOPI e l'efficacia della sua missione, secondo Mireille Imbert-Quaretta, presidente della Commission de protection des droits dell'autorità, non sono però in dubbio: semplicemente , le cifre non corrispondono.
    • bubba scrive:
      Re: Haute Autorité
      - Scritto da: prova123
      il ruolo di HADOPI e l'efficacia della sua
      missione, secondo Mireille Imbert-Quaretta,
      presidente della Commission de protection des
      droits dell'autorità, non sono però in dubbio:
      semplicemente , le cifre non
      corrispondono. tutto merito del piu' innovativo sistema di analisi dei dati e previsione dei trend a loro disposizione. il PRNG.
      • prova123 scrive:
        Re: Haute Autorité
        Peccato che quando qualcuno viene pagato e non è nemmeno in grado di dare le cifre corrette di quanto ha fatto è evidente che non è all'altezza del compito assegnato e dovrebbe restituire il denaro già ricevuto.Domanda: Madame Mireille Imbert-Quaretta e gli esperti del Tribunale di Roma hanno seguito gli stessi corsi europei di informatica oppure è tutta farina del proprio sacco?
  • Cuccureddu scrive:
    A noi no ce ne frega niente...
    ...siamo italiani!
Chiudi i commenti