Alfonso Maruccia

OpenSSL, nuova policy per la disclosure

Gli sviluppatori della discussa libreria di sicurezza aggiornano la policy per la pubblicazione di falle e bugfix, annunciando un trattamento di riguardo per chi realizza e mantiene distro Linux. Ma solo nei casi di bug più gravi

Roma - Il progetto OpenSSL ha aggiornato la policy per la distribuzione pubblica di informazioni su bug e vulnerabilità di sicurezza, una policy che ora si è fatta più flessibile e che prevede condizioni specifiche per i produttori di distro Linux. Che verranno aggiornati in anticipo, ma solo nei casi più gravi.

La nuova policy regolamenta il modo in cui OpenSSL gestirà d'ora in poi l'embargo sulla disclosure dei bug individuati nel codice della libreria da tempo al centro della scena e delle polemiche, classificando le falle con tre livelli di rischio in proporzione alla loro gravità.

I bug di "bassa gravità" - come gli exploit difficili da sfruttare - verranno quindi resi pubblici "immediatamente" in contemporanea con l'annuncio della disponibilità di un fix, quelli di "gravità moderata" (forieri di crash, exploit locali e altro) verranno invece tenuti segreti fino all'arrivo di una nuova release di OpenSSL che corregge il problema.
Nel caso di bug molto gravi, infine, l'embargo verrà mantenuto fino alla pubblicazione di nuove versioni della libreria per tutte le major release supportate, mentre per le organizzazioni produttrici di sistemi operativi general purpose (incluse quindi le distro Linux) è prevista una notifica anticipata di qualche giorno per preparare pacchetti di aggiornamento per gli utenti.

OpenSSL si muove per migliorare la sicurezza della libreria in seguito all'esplosione della crisi Heartbleed, ma fortunatamente per gli utenti e il Web nel suo complesso dalle analisi risulta che la falla fosse ignota prima che i ricercatori ne rendessero pubblica l'esistenza. Nessuna agenzia a tre lettere avrebbe quindi potuto sfruttarla per spiare e intercettare le attività telematiche degli utenti.

Alfonso Maruccia
Notizie collegate
  • SicurezzaOpenSSL, una roadmap contro l'immobilismoIl sito Web di OpenSSL pubblica una tabella di marcia per illustrare il futuro del progetto, un modo per rispondere alle critiche e fare il punto su quello che occorre fare per rimettere il codice in carreggiata
  • SicurezzaHeartbleed nel cuore degli ospedaliAnche l'attacco ai danni dei dati di 4,5 milioni di pazienti statunitensi sarebbe passato dalla vulnerabilità OpenSSL. E questo non fa altro che peggiorare le cose
5 Commenti alla Notizia OpenSSL, nuova policy per la disclosure
Ordina
  • Sull' implementazione di ssl ci hanno rimesso la faccia tutti i principali protagonisti:
    GnuTLS,
    Apple,
    Openssl.

    Tutti software americani. Bug che sono rimasti inspiegabilmente ignorati per anni sino all' apparizione di Snowden e non è detto che oggi siano sicuri.

    Se dovemo fida? Bah...
    non+autenticato
  • - Scritto da: evviva
    > Sull' implementazione di ssl ci hanno rimesso la
    > faccia tutti i principali
    > protagonisti:
    > GnuTLS,
    > Apple,
    > Openssl.
    >
    > Tutti software americani. Bug che sono rimasti

    dici che sia meglio usare qualche crapware russo?
    non+autenticato
  • - Scritto da: passaporto
    > - Scritto da: evviva
    > > Sull' implementazione di ssl ci hanno rimesso la
    > > faccia tutti i principali
    > > protagonisti:
    > > GnuTLS,
    > > Apple,
    > > Openssl.
    > >
    > > Tutti software americani. Bug che sono rimasti
    >
    > dici che sia meglio usare qualche crapware russo?


    Cominciare a prendere le distanze dal crapware americano di sicuro. SSL si è dimostrato una cazzata bucata da tutte le parti, tanto vale non usarlo.
    non+autenticato
  • - Scritto da: evviva
    > - Scritto da: passaporto
    > > - Scritto da: evviva
    > > > Sull' implementazione di ssl ci hanno rimesso
    > la
    > > > faccia tutti i principali
    > > > protagonisti:
    > > > GnuTLS,
    > > > Apple,
    > > > Openssl.
    > > >
    > > > Tutti software americani. Bug che sono rimasti
    > >
    > > dici che sia meglio usare qualche crapware
    > russo?
    >
    >
    > Cominciare a prendere le distanze dal crapware
    > americano di sicuro. SSL si è dimostrato una
    > cazzata bucata da tutte le parti, tanto vale non
    > usarlo.

    grazie del consiglio, tuttavia devo proprio dirtelo:

    openssl è sviluppato quasi esclusivamente da europei (https://www.openssl.org/about/)

    Questo perché in USA ci sono restrizioni sulla possibilità di esportare software crittografici (assimilati alle armi).

    Vabbé non è un problema visto che useremo PutinSSL.
    non+autenticato
  • - Scritto da: passatorto
    > - Scritto da: evviva
    > > - Scritto da: passaporto
    > > > - Scritto da: evviva
    > > > > Sull' implementazione di ssl ci
    > hanno
    > rimesso
    > > la
    > > > > faccia tutti i principali
    > > > > protagonisti:
    > > > > GnuTLS,
    > > > > Apple,
    > > > > Openssl.
    > > > >
    > > > > Tutti software americani. Bug che
    > sono
    > rimasti
    > > >
    > > > dici che sia meglio usare qualche
    > crapware
    > > russo?
    > >
    > >
    > > Cominciare a prendere le distanze dal
    > crapware
    > > americano di sicuro. SSL si è dimostrato una
    > > cazzata bucata da tutte le parti, tanto vale
    > non
    > > usarlo.
    >
    > grazie del consiglio, tuttavia devo proprio
    > dirtelo:
    >
    > openssl è sviluppato quasi esclusivamente da
    > europei
    > (https://www.openssl.org/about/)
    >
    > Questo perché in USA ci sono restrizioni sulla
    > possibilità di esportare software crittografici
    > (assimilati alle
    > armi).
    >
    > Vabbé non è un problema visto che useremo
    > PutinSSL.

    E' vero confermo tutto meglio USSL putinssl fa schifo. Imbarazzato
    non+autenticato