OpenSSL, update col brivido

L'atteso aggiornamento della tanto chiacchierata libreria SSL open source faceva temere una falla potenzialmente devastante. L'allarme è rientrato: il baco si limita a mandare in crash i server
L'atteso aggiornamento della tanto chiacchierata libreria SSL open source faceva temere una falla potenzialmente devastante. L'allarme è rientrato: il baco si limita a mandare in crash i server

Il Progetto OpenSSL ha rilasciato nuove versioni aggiornate della omonima libreria per le comunicazioni Web cifrate (HTTPS), una tornata di release già anticipata nei giorni scorsi che ha sollevato l’allarme sull’esistenza di una (nuova) pericolosa vulnerabilità di sicurezza all’interno del codice FOSS.

L’arrivo concreto della nuova release di OpenSSL (1.02a, 1.01m, 1.00r e 0.9.8.zf) serve però a ridimensionare e non di poco l’allarme, visto che il baco incriminato riguarda un errore di negoziazione tra cliente e server potenzialmente in grado di portare a un attacco DoS contro il sistema remoto.

Il bug può al massimo provocare un crash e il conseguente riavvio del server, insomma, eventualità fastidiosa ma certamente lontana anni luce dalle conseguenze “disastrose” di tutte le vulnerabilità scoperte negli ultimi ( Heartbleed , POODLE , FREAK e compagnia) mesi all’interno di OpenSSL.

Il security advisory di OpenSSL Project riguarda in totale 12 diverse vulnerabilità, alcune classificate con livello di rischio alto e altre (la maggior parte) solo come di rischio moderato o basso. L’advisory serve infine a riclassificare la vulnerabilità coinvolta nell’attacco FREAK, problema per cui esiste una patch già dallo scorso gennaio ma che ora viene considerato come un rischio “alto” in considerazione del gran numero di server e apparati di rete coinvolti.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

20 03 2015
Link copiato negli appunti