Ticketbleed, un nuovo caso Heartbleed?

Individuata una nuova vulnerabilità telematica potenzialmente pericolosa, e già c'è chi fa paragoni con la famigerata falla nota come Heartbleed. Forse le implicazioni sono le stesse, ma il livello di pericolosità è molto diverso

Roma – Il ricercatore Filippo Valsorda, attualmente impiegato presso il “Crypto Team” di Cloudflare, ha scovato un bug di sicurezza nelle appliance di rete ribattezzato Ticketbleed . La falla (CVE-2016-9244) potrebbe mettere a rischio le connessioni sicure (HTTPS) di un migliaio tra i siti Web più popolari al mondo, e al momento non esistono patch correttive ma solo misure tampone per mitigare il problema.

Ticketbleed è una vulnerabilità software nell’implementazione proprietaria del protocollo TLS/SSL di F5 Networks , società ben nota per i suoi apparati di rete venduti sotto il marchio F5 BIG-IP e utilizzati da alcuni colossi del Web come firewall e bilanciatori di traffico. F5 ha ammesso l’esistenza del problema, pubblicando un elenco di prodotti vulnerabili e le azioni da compiere per mitigare gli effetti del bug.

La nuova vulnerabilità agisce su una caratteristica propria del protocollo TLS di F5 nota come “ticket di sessione”, funzionalità progettata per velocizzare le transazioni Web protette con il riutilizzo delle chiavi crittografiche precedentemente usate da una connessione HTTPS già stabilita. Inviando una richiesta appositamente malformata, un malintenzionato ha possibilità di esporre 31 byte di memoria non utilizzata per ogni singolo tentativo.

Inviando una serie di richieste successive, questo l’effetto potenzialmente molto grave della falla, si potrebbero identificare informazioni sensibili o comunque private fino a compromettere la sicurezza della HTTPS. Valsorda dice di essersi limitato a stanare i siti vulnerabili, ma di non essere particolarmente esperto dell’analisi di memoria a basso livello.

Gli effetti di Ticketbleed – un “buffer overread” con esposizione di dati in memoria – fanno pensare all’utilizzo, nella realizzazione del protocollo TLS di F5, di un linguaggio di programmazione non protetto contro questo genere di bug come il C, spiega Valsorda. Per quanto non facile né immediata, la conversione del codice a qualcosa di più moderno come Rust o Go avrebbe evitato il problema.

Al momento Ticketbleed è un baco per cui non esiste patch, ma che può essere eliminato con la disabilitazione dei ticket di sessione da parte degli amministratori di rete. E anche se non pochi commentatori hanno fatto un parallelo con Heartbleed i livelli di rischio appaiono molto diversi.

La storica falla “sistemica” di Internet, emersa dai pozzi del codice di OpenSSL nel 2014 , era in grado di esporre una quantità di informazioni molto superiore ai 31 byte di Ticketbleed (64 Kilobyte) e coinvolgeva una libreria open source usata dalla stragrande maggioranza degli operatori di rete (OpenSSL appunto) contro l’implementazione proprietaria di F5. Ticketbleed non è insomma un nuovo baco Heartbleed, anche se gli assomiglia non poco.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Plinio scrive:
    Come si vedono gli utenti di PI
    Come si vedono gli utenti di PI mentre discutono sul forum[img]http://www.ifc0nfig.com/content/images/2016/05/stock-footage-moscow-russia-february-the-hacker-in-a-mask-of-guy-fawkes-uses-the-computer-late-at-ni.gif[/img]Come sono in realtà[img]http://aqu52.files.wordpress.com/2016/10/apes-dancing-gif.gif?w=379&h=284[/img]
    • rock n troll scrive:
      Re: Come si vedono gli utenti di PI
      discutere? che parolone, non si addice a delle checche isteriche.- Scritto da: Plinio
      Come si vedono gli utenti di PI mentre discutono
      sul forum
  • ___ scrive:
    OHHHRRRAGA!
    ohhhrrraga ho letto in giro che l'orgasmo è da sballo! bellaaazzzzio, sapete dove posso trovarne uno?
  • Risposta alla notizia scrive:
    eheheheh
    !Il commento contiene una parola troppo lunga.eheheheheheheheheheheheheheheheheheheheh!
  • ... scrive:
    ...
    (troll2)(troll1)(troll3) ;) ;) ;) ;) ;) ;) ;) ;)(troll3)(troll1)(troll2)(troll2)(troll1) :D :D :D ;) :@ :@ :@ :@ :@ :@ :@ ;) :D :D :D(troll1)(troll2)(troll2)(troll1) :D : : : : : : : : : : : : : :D(troll1)(troll2)(troll2)(troll1) :D :(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon) : :D(troll1)(troll2)(rotfl)(troll1) :D :(cylon) :| :| :| :| :| :| :| :| :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(newbie)(newbie)(newbie)(newbie)(newbie)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(troll3)(troll3)(troll3)(troll3)(troll3)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(troll3)(win)(win)(win)(troll3)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(troll3)(win)(idea)(win)(troll3)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(troll3)(win)(win)(win)(troll3)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(troll3)(troll3)(troll3)(troll3)(troll3)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :|(newbie)(newbie)(newbie)(newbie)(newbie)(newbie)(newbie) :|(cylon) : :D(troll1)(rotfl)(rotfl)(troll1) :D :(cylon) :| :| :| :| :| :| :| :| :|(cylon) : :D(troll1)(rotfl)(troll2)(troll1) :D :(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon)(cylon) : :D(troll1)(troll2)(troll2)(troll1) :D : : : : : : : : : : : : : :D(troll1)(troll2)(troll2)(troll1) :D :D :D ;) :@ :@ :@ :@ :@ :@ :@ ;) :D :D :D(troll1)(troll2)(troll2)(troll1)(troll3) ;) ;) ;) ;) ;) ;) ;) ;)(troll3)(troll1)(troll2)
  • aronne scrive:
    profilatori unitevi!
    XXXXXXX, sono dei profilatorbidi senza ritegno.La cosa incredibile è che la gente paga per comperare apparecchi che li profilano, gli lavano il cervello con la pubblicità manipolando le loro scelte e gli indeboliscono la mente presentandogli la pappa semifatta che li abitua a non pensare.Ma come è possibile che le masse non riescano a vedere poco più in la del loro naso, in cerca di soddisfazione immediata dei loro ormoni (teleguidati)?Animali sofisticati, altro che umani.
    • gualtiero di brienne scrive:
      Re: profilatori unitevi!
      L'umanità è appena nata, lasciala sbagliare.Fra qualche migliaio di anni sarà più matura, non avere fretta e goditi la vita.
  • Il fuddaro scrive:
    INUTILI
    Sono inutili comunque!SEMPREEE!!Con cellophono o senza!!CAPITO? (troll)(troll)(troll)(troll)(troll)
  • rico scrive:
    Si vuole sapere
    Ma con questi Wear Clock è possibile lasciare a casa il telefonone, o no?Se si, sono un innovazione. Se no, sono inutili periferiche.
    • ... scrive:
      Re: Si vuole sapere
      Figliolo benedetto, quanto potrà mai durare la batteria del wotcho se lo usi per telefonare? No, la risposta è no.
  • xte scrive:
    Non vedo come possono aver sucXXXXX
    La dettatura l'abbiamo già da alcuni anni e nonostante gli enormi passi avanti continua a far sostanzialmente schifo: si perde più tempo a correggere gli errori che a scrivere direttamente a mano.Parlare col telefono davanti alla bocca non è più comodo di usare il cellulare all'orecchio, legger roba su uno schermo "da polso" (che sia gestibile al polso per dimensioni) è scomodo ad esser gentili, sicuramente almeno quanto tirar fuori il telefono e accendere a mano lo schermo se questo non s'accende da solo (soluzioni esistenti, un po' bacate ma abbastanza funzionanti, almeno alcune).Obbligo comunque di avere il telefono, una batteria in più da tener d'occhio come consumi, una batteria in più da ricaricare... Mah.Penso farà, per ora la fine dei "tablet" Windows XP tablet edition di decenni fa, dei Google Glass e di tanti altri progetti, tra un decennio magari torneranno con sucXXXXX ma per ora IMVHO servon solo a dar ancora più dati personali ai grandi OEM/sw houses, per di più pagando per farlo.
    • Il fuddaro scrive:
      Re: Non vedo come possono aver sucXXXXX
      - Scritto da: xte
      La dettatura l'abbiamo già da alcuni anni e
      nonostante gli enormi passi avanti continua a far
      sostanzialmente schifo: si perde più tempo a
      correggere gli errori che a scrivere direttamente
      a
      mano.

      Parlare col telefono davanti alla bocca non è più
      comodo di usare il cellulare all'orecchio, legger
      roba su uno schermo "da polso" (che sia gestibile
      al polso per dimensioni) è scomodo ad esser
      gentili, sicuramente almeno quanto tirar fuori il
      telefono e accendere a mano lo schermo se questo
      non s'accende da solo (soluzioni esistenti, un
      po' bacate ma abbastanza funzionanti, almeno
      alcune).

      Obbligo comunque di avere il telefono, una
      batteria in più da tener d'occhio come consumi,
      una batteria in più da ricaricare...
      Mah.
      Penso farà, per ora la fine dei "tablet" Windows
      XP tablet edition di decenni fa, dei Google Glass
      e di tanti altri progetti, tra un decennio magari
      torneranno con sucXXXXX ma per ora IMVHO servon
      solo a dar ancora più dati personali ai grandi
      OEM/sw houses, per di più pagando per
      farlo.Non vorrai mica essere diverso da tutti gli altri? (rotfl)
  • Aggiorna immagine scrive:
    ...
    !Il commento contiene una parola troppo lunga.それはでた!
  • pinuccio scrive:
    pinuccio
    [yt]szAUUFaAruI[/yt]
  • Hopf scrive:
    se hai bisogno dell'ombrello...
    prima di uscire???Ma guardare fuori dalla finestra è così difficile? :D
    • Il fuddaro scrive:
      Re: se hai bisogno dell'ombrello...
      - Scritto da: Hopf
      prima di uscire???
      Ma guardare fuori dalla finestra è così
      difficile?
      :DNon è difficile! E che non ne sono più capaci senza che lo detti un display per loro. :D :o :)
Chiudi i commenti