Alfonso Maruccia

LibreSSL, fork pių bucata dell'originale

Roma - Un pericoloso bug di sicurezza è stato scovato e subito corretto in LibreSSL, fork del progetto OpenSSL che ambisce a risolvere i molti problemi di quest'ultimo per evitare la comparsa di un nuovo bug "catastrofico" dello stesso livello dell'oramai famigerato Heartbleed.

Il nuovo baco di LibreSSL, individuato dal ricercatore Andrew Ayer, avrebbe potuto in realtà avere conseguenze persino peggiori di Heartbleed visto che riguardava il componente integrato per la generazione di numeri casuali (PRNG o Pseudo Random Number Generator). In certe specifiche condizioni, ha spiegato Ayer, il PRNG avrebbe potuto generare due numeri perfettamente identici aprendo le porte a ogni genere di attacco; a peggiorare la situazione c'è il fatto che un tale bug non è presente nemmeno nel super-bucato e mal gestito OpenSSL.

Il team di OpenBSD - responsabile del fork e dello sviluppo di LibreSSL - ha in realtà provato a ridimensionare la potenziale minaccia parlando di allarmi eccessivi e descrivendo il bug come un qualcosa che non sarebbe mai potuto succedere nel "codice reale" della libreria.
Giusto per essere sicuri, a ogni modo, gli sviluppatori hanno provveduto a rilasciare una patch in grado di eliminare il bug in LibreSSL. La patch arriva ad aggiornare un software che appena due giorni prima era stato rilasciato in versione 2.0, una release pensata per riaffermare la vocazione alla "portabilità" di LibreSSL con l'eliminazione della gran parte delle dipendenze che ne impedivano l'utilizzo su sistemi operativi Unix-like diversi da OpenBSD.

Alfonso Maruccia
Notizie collegate
16 Commenti alla Notizia LibreSSL, fork pių bucata dell'originale
Ordina
  • Forse c'è un gioco di parole su "fork più bucata" e si intende più che la libreria la system call ...che tra l'altro non fa niente di male. E' sempre stato così. Le pagine di memoria vengono ereditate, copiate o nei kernel non troppo antichi deduplicate col copy on write. Quindi erediti le inizializzazioni fatte in precedenza. Un programma non se ne accorge. La soluzione standard per accorgersene (che mi sembra venga usata da OpenSSL) è controllare il pid e confrontarlo con uno registrato precedentemente, possibilmente a partire da una funzione chiamata dalla sezione .init dell'eseguibile cioè da una funzione che nel GCC è chiamata costruttore. Giusto per eseguirla prima ancora del main() e quindi prima di un possibile fork e di possibili chiamate di inizializzazioni a altre librerie.
    Comunque. Se c'è un programma contorto dove questa vulnerabilità è sfruttabile, deve essere stato scritto da un programmatore che non sapeva bene quel che stava facendo. Ma il programma in questione non può nemmeno esistere visto che è ancora troppo presto per usare LibreSSL.
    non+autenticato
  • - Scritto da: FreeBSD
    >
    > Comunque. Se c'è un programma contorto dove
    > questa vulnerabilità è sfruttabile, deve essere
    > stato scritto da un programmatore che non sapeva
    > bene quel che stava facendo. Ma il programma in
    > questione non può nemmeno esistere visto che è
    > ancora troppo presto per usare LibreSSL.

    Chiedi a Maruccia come si fa a bucare un software che ancora non è stato ufficialmente rilasciato.

    Battute a parte, bisogna ammettere che l'idea di forkare OpenSSL è un'utopia (forse anche per Google); è come pensare di potersi costruire una copia funzionante dello Space Shuttle nel garage di casa.
    OpenSSL è un progetto troppo vasto e complesso, che rimane open source, ma che non ha più nulla a che vedere con il software libero; di libero non c'è rimasto niente visto che continuamente arrivano patch per OpenSSL da enti militari (come il ministero della difesa USA), da colossi come Google, Microsoft, Apple, Red Had ... e purtroppo anche dalla NSA.
    L'idea che un progetto così delicato possa essere lasciato nelle mani di quattro appassionati di programmazione è del tutto fuori dal mondo.
    non+autenticato
  • Questo articolo mi abbacina per la sua risplendente dimostrazione di integrità giornalistica.
    non+autenticato
  • Un po' di precisazioni per chi segue queste discussioni.
    1) LibreSSL non è stato "Rilasciato" ma è in una fase di sviluppo in cui i programmatori hanno chiesto di testare una prima versione portabile della libreria su altri sistemi proprio per trovare possibili problemi da gestire
    2) Nonostante la segnalazione di questo bug sia stata fatta in modo "Scandalistico" e "Giornalistico" nonostante le premesse del punto 1 non è passata neanche una settimana per rilasciare un fix che tappasse il problema.
    3) Il problema non deriva tanto dalla libreria ma da alcuni limiti del kernel linux che gia stanno affrontando insieme agli sviluppatori del kernel stesso. Quello per ora rilasciato è solo una pezza temporanea.
    4) Se uno leggesse le note di rilascio e il codice ufficiali invece di blog senza riferimenti capirebbe che la libreria sta venendo gestita in maniera seria e professionale.
    non+autenticato
  • - Scritto da: Amodio Pesce
    >
    > 4) Se uno leggesse le note di rilascio e il
    > codice ufficiali invece di blog senza riferimenti ...

    Ma guarda che la notizia è stata riportata anche da prestigiose riviste del settore, come Novella 2000, Chi, Diva & Donna, etc.
    non+autenticato
  • cito: "nemmeno nel super-bucato e mal gestito OpenSSL"
    Allora... che sia mal gestito non c'è dubbio, per stessa ammissione dei componenti del team che ci lavora...
    Ma che sia "super-bucato", bhè... andiamo piano.. spero che l'autore dell'articolo abbia cognizione di causa sul codice sorgente di openssl per fare un affermazione di questo tenore.
  • - Scritto da: sisko212
    > cito: "nemmeno nel super-bucato e mal gestito
    > OpenSSL"
    > Allora... che sia mal gestito non c'è dubbio, per
    > stessa ammissione dei componenti del team che ci
    > lavora...
    > Ma che sia "super-bucato", bhè... andiamo piano..
    Non ti è bastato Heartbleed?
    non+autenticato
  • - Scritto da: xifkuibw

    > > Ma che sia "super-bucato", bhè... andiamo
    > piano..
    > Non ti è bastato Heartbleed?

    Super-buco, non super-bucatoOcchiolino
    11237
  • Io neanche dire superbuco,visto che non è mai stato sfruttato in massa...
    non+autenticato
  • - Scritto da: Etype
    > Io neanche dire superbuco,visto che non è mai
    > stato sfruttato in
    > massa...

    Tu dammi un motivo per cui io avrei dovuto dire e sbandierare una cosa del genere.

    Io te ne do 10.000 per non farlo.

    Come sempre ho ragione io.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: Etype
    > > Io neanche dire superbuco,visto che non è mai
    > > stato sfruttato in
    > > massa...
    >
    > Tu dammi un motivo per cui io avrei dovuto dire e
    > sbandierare una cosa del
    > genere.

    Primo: tu sei incapace
    Secondo: tu sei macaco
    Terzo: centinaia di honeypot inseriti in rete all'indomani della scoperta di heartbleed non hanno catturato neppure una mosca

    > Io te ne do 10.000 per non farlo.
    >
    > Come sempre ho ragione io.

    Come sempre la ragione la si da' agli stolti.
  • - Scritto da: panda rossa
    > - Scritto da: maxsix
    > > - Scritto da: Etype
    > > > Io neanche dire superbuco,visto che non
    > è
    > mai
    > > > stato sfruttato in
    > > > massa...
    > >
    > > Tu dammi un motivo per cui io avrei dovuto
    > dire
    > e
    > > sbandierare una cosa del
    > > genere.
    >
    > Primo: tu sei incapace

    Dimostrazione prego.
    Ah, visto che ci sei, mi espanderesti il mio RasPI?
    Ah, e visto che ci sei ancora, mi manderesti per cortesia quei script bash che mi hai promesso?

    Ti pago eh.

    > Secondo: tu sei macaco

    Detto da un wannabe amministratore di "sala server" è un complimento.
    Lo sapevi questo vero?

    > Terzo: centinaia di honeypot inseriti in rete
    > all'indomani della scoperta di heartbleed non
    > hanno catturato neppure una
    > mosca
    >

    E secondo la tua mente cantinara se io sono una banca e ho il problema vengo a dirlo prima a te (perché ci mancherebbe eh), e poi chiamo Annunziata per farmi fare l'articolo?

    E secondo la tua mente io creatore dello script pubblico allegramente i risultati per farlo sapere a te (perché ci mancherebbe eh) e magari anche a qualcuno che diversamente da te potrebbe sfruttare la cosa.

    > > Io te ne do 10.000 per non farlo.
    > >
    > > Come sempre ho ragione io.
    >
    > Come sempre la ragione la si da' agli stolti.

    La ragione la si da a chi la ha.
    Io ce l'ho.

    Sempre. [cit.]
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: panda rossa
    > > - Scritto da: maxsix
    > > > - Scritto da: Etype
    > > > > Io neanche dire superbuco,visto
    > che
    > non
    > > è
    > > mai
    > > > > stato sfruttato in
    > > > > massa...
    > > >
    > > > Tu dammi un motivo per cui io avrei
    > dovuto
    > > dire
    > > e
    > > > sbandierare una cosa del
    > > > genere.
    > >
    > > Primo: tu sei incapace
    >
    > Dimostrazione prego.
    > Ah, visto che ci sei, mi espanderesti il mio
    > RasPI?
    > Ah, e visto che ci sei ancora, mi manderesti per
    > cortesia quei script bash che mi hai
    > promesso?
    >
    > Ti pago eh.

    Aspetto il denaro allora.

    > > Secondo: tu sei macaco
    >
    > Detto da un wannabe amministratore di "sala
    > server" è un
    > complimento.
    > Lo sapevi questo vero?

    Infatti era un complimento.

    > > Terzo: centinaia di honeypot inseriti in rete
    > > all'indomani della scoperta di heartbleed non
    > > hanno catturato neppure una
    > > mosca
    > >
    >
    > E secondo la tua mente cantinara se io sono una
    > banca e ho il problema vengo a dirlo prima a te
    > (perché ci mancherebbe eh), e poi chiamo
    > Annunziata per farmi fare
    > l'articolo?
    >
    > E secondo la tua mente io creatore dello script
    > pubblico allegramente i risultati per farlo
    > sapere a te (perché ci mancherebbe eh) e magari
    > anche a qualcuno che diversamente da te potrebbe
    > sfruttare la
    > cosa.

    Non e' secondo me, e' quanto e' successo.

    E ora sei pregato di andare a schiumare di rabbia da un'altra parte, che a noi ci fa schifo.


    >
    > > > Io te ne do 10.000 per non farlo.
    > > >
    > > > Come sempre ho ragione io.
    > >
    > > Come sempre la ragione la si da' agli stolti.
    >
    > La ragione la si da a chi la ha.
    > Io ce l'ho.
    >
    > Sempre. [cit.]

    CVD.
  • - Scritto da: panda rossa
    > - Scritto da: maxsix
    > > - Scritto da: panda rossa
    > > > - Scritto da: maxsix
    > > > > - Scritto da: Etype
    > > > > > Io neanche dire
    > superbuco,visto
    > > che
    > > non
    > > > è
    > > > mai
    > > > > > stato sfruttato in
    > > > > > massa...
    > > > >
    > > > > Tu dammi un motivo per cui io avrei
    > > dovuto
    > > > dire
    > > > e
    > > > > sbandierare una cosa del
    > > > > genere.
    > > >
    > > > Primo: tu sei incapace
    > >
    > > Dimostrazione prego.
    > > Ah, visto che ci sei, mi espanderesti il mio
    > > RasPI?
    > > Ah, e visto che ci sei ancora, mi manderesti
    > per
    > > cortesia quei script bash che mi hai
    > > promesso?
    > >
    > > Ti pago eh.
    >
    > Aspetto il denaro allora.
    >

    Pagare moneta vedere cammello [cit.]

    > > > Secondo: tu sei macaco
    > >
    > > Detto da un wannabe amministratore di "sala
    > > server" è un
    > > complimento.
    > > Lo sapevi questo vero?
    >
    > Infatti era un complimento.
    >
    > > > Terzo: centinaia di honeypot inseriti
    > in
    > rete
    > > > all'indomani della scoperta di
    > heartbleed
    > non
    > > > hanno catturato neppure una
    > > > mosca
    > > >
    > >
    > > E secondo la tua mente cantinara se io sono
    > una
    > > banca e ho il problema vengo a dirlo prima a
    > te
    > > (perché ci mancherebbe eh), e poi chiamo
    > > Annunziata per farmi fare
    > > l'articolo?
    > >
    > > E secondo la tua mente io creatore dello
    > script
    > > pubblico allegramente i risultati per farlo
    > > sapere a te (perché ci mancherebbe eh) e
    > magari
    > > anche a qualcuno che diversamente da te
    > potrebbe
    > > sfruttare la
    > > cosa.
    >
    > Non e' secondo me, e' quanto e' successo.
    >
    Appunto, esatto.

    E' quello che ESATTAMENTE è successo.

    Quindi?

    > E ora sei pregato di andare a schiumare di rabbia
    > da un'altra parte, che a noi ci fa
    > schifo.
    >

    Io non schiumo, io la rabbia la faccio venire a te.
    E si vede.


    >
    > >
    > > > > Io te ne do 10.000 per non farlo.
    > > > >
    > > > > Come sempre ho ragione io.
    > > >
    > > > Come sempre la ragione la si da' agli
    > stolti.
    > >
    > > La ragione la si da a chi la ha.
    > > Io ce l'ho.
    > >
    > > Sempre. [cit.]
    >
    > CVD.

    Già.
    maxsix
    9374
  • - Scritto da: maxsix
    > Tu dammi un motivo per cui io avrei dovuto dire e
    > sbandierare una cosa del
    > genere.

    Perchè non c'è una vittima senza un corpo ? l'accendiamo ?A bocca aperta

    > Io te ne do 10.000 per non farlo.

    ma piantala...

    > Come sempre ho ragione io.

    e si sa di chi è la ragioneA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: maxsix
    > > Tu dammi un motivo per cui io avrei dovuto dire
    > e
    > > sbandierare una cosa del
    > > genere.
    >
    > Perchè non c'è una vittima senza un corpo ?
    > l'accendiamo ?
    >A bocca aperta
    >

    Perché il corpo della vittima devo farlo vedere a te vero?
    Ti chiameremo appena possibile.

    > > Io te ne do 10.000 per non farlo.
    >
    > ma piantala...
    >
    Si la tua testa a capo dei miei filari di viti.
    Per mandar via i musati.

    > > Come sempre ho ragione io.
    >
    > e si sa di chi è la ragioneA bocca aperta

    Di quelli che ce l'hanno.
    Come sempre.
    maxsix
    9374