Alfonso Maruccia

OpenSSL, update col brivido

L'atteso aggiornamento della tanto chiacchierata libreria SSL open source faceva temere una falla potenzialmente devastante. L'allarme č rientrato: il baco si limita a mandare in crash i server

Roma - Il Progetto OpenSSL ha rilasciato nuove versioni aggiornate della omonima libreria per le comunicazioni Web cifrate (HTTPS), una tornata di release già anticipata nei giorni scorsi che ha sollevato l'allarme sull'esistenza di una (nuova) pericolosa vulnerabilità di sicurezza all'interno del codice FOSS.

L'arrivo concreto della nuova release di OpenSSL (1.02a, 1.01m, 1.00r e 0.9.8.zf) serve però a ridimensionare e non di poco l'allarme, visto che il baco incriminato riguarda un errore di negoziazione tra cliente e server potenzialmente in grado di portare a un attacco DoS contro il sistema remoto.

Il bug può al massimo provocare un crash e il conseguente riavvio del server, insomma, eventualità fastidiosa ma certamente lontana anni luce dalle conseguenze "disastrose" di tutte le vulnerabilità scoperte negli ultimi (Heartbleed, POODLE, FREAK e compagnia) mesi all'interno di OpenSSL.
Il security advisory di OpenSSL Project riguarda in totale 12 diverse vulnerabilità, alcune classificate con livello di rischio alto e altre (la maggior parte) solo come di rischio moderato o basso. L'advisory serve infine a riclassificare la vulnerabilità coinvolta nell'attacco FREAK, problema per cui esiste una patch già dallo scorso gennaio ma che ora viene considerato come un rischio "alto" in considerazione del gran numero di server e apparati di rete coinvolti.

Alfonso Maruccia
Notizie collegate
  • TecnologiaL'insicurezza nelle comunicazioni sicureMicrosoft rilascia in tutta fretta un aggiornamento pensato per revocare un certificato SSL compromesso, mentre le aziende IT continuano a fare i conti con gli attacchi FREAK. Anche OpenSSL corregge bachi, quali ancora non si sa.
7 Commenti alla Notizia OpenSSL, update col brivido
Ordina