LibreSSL, fork più bucata dell'originale

La libreria che dovrebbe sostituire il problematico progetto OpenSSL mette in mostra falle potenzialmente persino peggiori dell'originale. Ma gli sviluppatori sono lesti a rilasciare una patch correttiva
La libreria che dovrebbe sostituire il problematico progetto OpenSSL mette in mostra falle potenzialmente persino peggiori dell'originale. Ma gli sviluppatori sono lesti a rilasciare una patch correttiva

Un pericoloso bug di sicurezza è stato scovato e subito corretto in LibreSSL, fork del progetto OpenSSL che ambisce a risolvere i molti problemi di quest’ultimo per evitare la comparsa di un nuovo bug “catastrofico” dello stesso livello dell’oramai famigerato Heartbleed .

Il nuovo baco di LibreSSL, individuato dal ricercatore Andrew Ayer, avrebbe potuto in realtà avere conseguenze persino peggiori di Heartbleed visto che riguardava il componente integrato per la generazione di numeri casuali (PRNG o Pseudo Random Number Generator). In certe specifiche condizioni, ha spiegato Ayer, il PRNG avrebbe potuto generare due numeri perfettamente identici aprendo le porte a ogni genere di attacco; a peggiorare la situazione c’è il fatto che un tale bug non è presente nemmeno nel super-bucato e mal gestito OpenSSL.

Il team di OpenBSD – responsabile del fork e dello sviluppo di LibreSSL – ha in realtà provato a ridimensionare la potenziale minaccia parlando di allarmi eccessivi e descrivendo il bug come un qualcosa che non sarebbe mai potuto succedere nel “codice reale” della libreria.

Giusto per essere sicuri, a ogni modo, gli sviluppatori hanno provveduto a rilasciare una patch in grado di eliminare il bug in LibreSSL. La patch arriva ad aggiornare un software che appena due giorni prima era stato rilasciato in versione 2.0 , una release pensata per riaffermare la vocazione alla “portabilità” di LibreSSL con l’eliminazione della gran parte delle dipendenze che ne impedivano l’utilizzo su sistemi operativi Unix-like diversi da OpenBSD.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

18 07 2014
Link copiato negli appunti