Grosse crepe nella sicurezza di OpenSSL

L'implementazione open source del diffusissimo protocollo di sicurezza SSL è afflitta da alcuni grossi buchi di sicurezza che potrebbero aprire le porte ai cracker. Già disponibili e pronte da installare le patch necessarie

Grosse crepe nella sicurezza di OpenSSLRoma - OpenSSL, una diffusa implementazione open source dei protocolli di sicurezza Secure Sockets Layer (SSL) e Transport Layer Security (TLS), utilizzati per fornire una connessione sicura fra client (tipicamente un browser Web) e server, è afflitta da alcune gravi vulnerabilità che, secondo quanto riportato da un advisory ufficiale di OpenSSL.org, potrebbero essere sfruttate da un aggressore per eseguire del codice da remoto sul sistema vittima o per lanciare attacchi di tipo denial of service (DoS).

Le falle consistono in quattro buffer overflow - tre contenuti nei processi di handshake di SSLv2 e SSLv3 e uno contenuto nel codice per la rappresentazione ASCII degli interi - e in un bug nelle routine di codifica del parser ASN.1. L'ultima delle vulnerabilità, la meno grave, può essere sfruttata solo per attacchi di tipo DoS.

I buffer overflow interessano tutte le versioni di OpenSSL più recenti della 0.9.6.e o, per quanto riguarda le pre-release, più recenti della 0.9.7-beta3. I server che adottano la versione 0.9.6d su sistemi a 32 bit con SSL 2.0 disabilitato non sono invece vulnerabili. Il bug nella codifica ASN.1 riguarda invece tutti i programmi OpenSSL che si avvalgono della libreria ASN.1 per analizzare i dati untrusted, fra cui le varie implementazioni dei protocolli SSL, TLS, S/MIME e PKCS#7.
OpenSSL.org ha già reso disponibili su questa pagina nuove versioni non vulnerabili di OpenSSL, la 0.9.6.e e la 0.9.7-beta3, e due patch per la 0.9.6d e la 0.9.7-beta2.

OpenSSL.org dichiara che al momento non è a conoscenza di exploit volti a sfruttare queste falle di sicurezza, in ogni caso sollecita gli amministratori di sistema ad aggiornare quanto prima i propri server.
103 Commenti alla Notizia Grosse crepe nella sicurezza di OpenSSL
Ordina
  • allora:ieri mi ero preso un giorno di
    vacanza ...
    oggi ,visto il casino sul forum , ho fatto una
    ricerchina sulle mailing list di openssl e
    garda che ti trovo :

        * From: Ben Laurie
        * Subject: OpenSSL patches for other versions
    * Date: Tue, 30 Jul 2002 02:57:51 -0700

    Enclosed are patches for today's OpenSSL security alert which apply to
    other versions. The patch for 0.9.7 is supplied by Ben Laurie
    <ben@algroup.co.uk> and the remainder by Vincent Danen (email not
    supplied).

    Patches are for 0.9.5a, 0.9.6 (use 0.9.6b patch), 0.9.6b, 0.9.6c, 0.9.7-dev.

    These patches are known to apply correctly but have not been
    thoroughly tested.

    Cheers,

    Ben.



    e spero che questo tagli _definitivamente_ la testa al toro !!
    non+autenticato
  • la mia distro preferita ha già messo i pacchetti aggiornati sui suoi mirror! scaricati e upgradati.
    non+autenticato
  • - Scritto da: errepiemme
    > la mia distro preferita ha già messo i
    > pacchetti aggiornati sui suoi mirror!
    > scaricati e upgradati.

    perche' secondo te gli altri che hanno fatto?
    non+autenticato
  • credo la stessa cosa. ma visto che non lo so, non lo dico.

    - Scritto da: Opino
    > - Scritto da: errepiemme
    > > la mia distro preferita ha già messo i
    > > pacchetti aggiornati sui suoi mirror!
    > > scaricati e upgradati.
    >
    > perche' secondo te gli altri che hanno fatto?
    non+autenticato
  • OpenSSL.org ha già reso disponibili nuove versioni non vulnerabili di OpenSSL, la 0.9.6.e e la 0.9.7-beta3, e due patch per la 0.9.6d e la 0.9.7-beta2.

    Una sollecitudine simile ve la scordate, se siete clienti del monopolista microsoft
    non+autenticato
  • > OpenSSL.org ha già reso disponibili nuove
    > versioni non vulnerabili di OpenSSL, la
    > 0.9.6.e e la 0.9.7-beta3, e due patch per la
    > 0.9.6d e la 0.9.7-beta2.
    >
    > Una sollecitudine simile ve la scordate, se
    > siete clienti del monopolista microsoft

    infatti con la patch devo prendere i sorgenti, patcharli e ricompilarli...

    il monopolista mi fornisce patch in binario che mi fanno perdere al massimo 2 minuti per installarle..

    non+autenticato
  • un piccolo FUD, niente di preoccupante...

    - Scritto da: petulante....

    > infatti con la patch devo prendere i
    > sorgenti, patcharli e ricompilarli...

    Se il pacchetto serve agli amministratori di sistema per loro non e' un problema prendere i sorgenti, patcharli e ricompilarli

    > il monopolista mi fornisce patch in binario
    > che mi fanno perdere al massimo 2 minuti per
    > installarle..

    Se il pacchetto serve ad un utente normale la sua distribuzione preferita gli mettera' a disposizione il pacchetto gia' patchato e compilato

    Saluti
    non+autenticato
  • gia, stamattina l'apt-get dist-upgrade quotidiano mi ha portato anche la versione corretta di openssl, prima ancora che potessi leggere la notizia...
    non+autenticato
  • - Scritto da: qweasdzxc
    > gia, stamattina l'apt-get dist-upgrade
    > quotidiano mi ha portato anche la versione
    > corretta di openssl, prima ancora che
    > potessi leggere la notizia...

    Esselo e' arrivato il debianazzo thunderfireA bocca aperta
    Io invece ho fatto
    rpm -Uvh openssl e mi ha scritto
    segmentation faultA bocca aperta
    non+autenticato
  • scrivo una cosa, arriva un insulto... lui ha detto che ci pensano le distro a fornire le patch binarie, io ho confermato, sottolineando che fanno anche presto, e te insulti... ok...
    non+autenticato


  • - Scritto da: qweasdzxc
    > scrivo una cosa, arriva un insulto... lui ha
    > detto che ci pensano le distro a fornire le
    > patch binarie, io ho confermato,
    > sottolineando che fanno anche presto, e te
    > insulti... ok...

    Si va bene che vuoi la rissaA bocca aperta
    dai su su che scherzavoCon la lingua fuoriLONK
    non+autenticato
  • Cambia browser o curati il parkinson per evitare di postare due volteCon la lingua fuori

    non+autenticato
  • FOTTITI AMEBAA bocca aperta
    non+autenticato


  • - Scritto da: Cucuzza
    > - Scritto da: qweasdzxc
    > > gia, stamattina l'apt-get dist-upgrade
    > > quotidiano mi ha portato anche la versione
    > > corretta di openssl, prima ancora che
    > > potessi leggere la notizia...
    >
    > Esselo e' arrivato il debianazzo thunderfire
    > A bocca aperta
    > Io invece ho fatto
    > rpm -Uvh openssl e mi ha scritto
    > segmentation faultA bocca aperta

    a me invece l'ha fatto con rpm -hiv ... chissa' perche'?Sorride)))
    non+autenticato
  • - Scritto da: zap
    > OpenSSL.org ha già reso disponibili nuove
    > versioni non vulnerabili di OpenSSL, la
    > 0.9.6.e e la 0.9.7-beta3, e due patch per la
    > 0.9.6d e la 0.9.7-beta2.
    >
    > Una sollecitudine simile ve la scordate, se
    > siete clienti del monopolista microsoft

    e che cazzo c'entra microsoft
    non+autenticato
  • No, la vera trappola è M$: ti fa pagare un sacco di soldi che potresti risparmiarti, sei loro prigioniero e schiaccia le aziende concorrenti. Poi, c'è tutto il sistema chiuso che ti costringe ad attendere anni per vedere corrette certe falle che in Open Source sarebbero già morte e sepolte.
    non+autenticato
  • hai ragione, appena esegui un programma open source, tutto il codice che hai scritto viene pubblicato su code.gnu.org e tutti possono prenderselo e copiarselo.
    non+autenticato
  • 0.9.bxcjd 0.9.efg 0.9echepalle
    intanto red hat 7.2 ha quelle sbuciateSorride
    ha ha
    Me ne sbatto dell'ssl ora faccio le transazioni
    in chiaro hahaha
    non+autenticato
  • Se utilizzi vers. "macchiate" del suffisso letterale o BETA, dovresti sapere che può succedere.
    Utilizza ad esempio la vers. 0.9.5, ha più tempo sulle spalle e difficilmente sarà bug-ata.
    non+autenticato
  • - Scritto da: BSD_like
    > Se utilizzi vers. "macchiate" del suffisso
    > letterale o BETA, dovresti sapere che può
    > succedere.
    > Utilizza ad esempio la vers. 0.9.5, ha più
    > tempo sulle spalle e difficilmente sarà
    > bug-ata.

    Gia e' vero,comunque sto levando definitivamente
    dalle palle quella ciofeca di redhat ogni
    volta che vado nell'area errata.redhat.com mi
    prende il panicoSorride
    Ciao

    non+autenticato


  • - Scritto da: Ridicolo
    > 0.9.bxcjd 0.9.efg 0.9echepalle
    > intanto red hat 7.2 ha quelle sbuciateSorride
    > ha ha
    > Me ne sbatto dell'ssl ora faccio le
    > transazioni
    > in chiaro hahaha

    grande! pure io! finisco il sito e poi tolgo via tutte le pagine SSL, utti i meccanismi di pagamento i tutti i caxxxi vari!

    d'ora in poi si paga in una sola maniera:

    IN NATURA ED IN CONTRASSEGNO!!! hehehe!

    DarkstaRSorride
    non+autenticato
  • - Scritto da: DarkstaR
    >> grande! pure io! finisco il sito e poi tolgo
    > via tutte le pagine SSL, utti i meccanismi
    > di pagamento i tutti i caxxxi vari!
    >
    > d'ora in poi si paga in una sola maniera:
    >
    > IN NATURA ED IN CONTRASSEGNO!!! hehehe!
    >
    > DarkstaRSorride

    GHA bocca aperta
    non+autenticato
  • Se utilizzi vers. "macchiate" del suffisso letterale o BETA, dovresti sapere che può succedere.
    Utilizza ad esempio la vers. 0.9.5, ha più tempo sulle spalle e difficilmente sarà bug-ata.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)