Grosse crepe nella sicurezza di OpenSSL

Grosse crepe nella sicurezza di OpenSSL

L'implementazione open source del diffusissimo protocollo di sicurezza SSL è afflitta da alcuni grossi buchi di sicurezza che potrebbero aprire le porte ai cracker. Già disponibili e pronte da installare le patch necessarie
L'implementazione open source del diffusissimo protocollo di sicurezza SSL è afflitta da alcuni grossi buchi di sicurezza che potrebbero aprire le porte ai cracker. Già disponibili e pronte da installare le patch necessarie


Roma – OpenSSL, una diffusa implementazione open source dei protocolli di sicurezza Secure Sockets Layer (SSL) e Transport Layer Security (TLS), utilizzati per fornire una connessione sicura fra client (tipicamente un browser Web) e server, è afflitta da alcune gravi vulnerabilità che, secondo quanto riportato da un advisory ufficiale di OpenSSL.org , potrebbero essere sfruttate da un aggressore per eseguire del codice da remoto sul sistema vittima o per lanciare attacchi di tipo denial of service (DoS).

Le falle consistono in quattro buffer overflow – tre contenuti nei processi di handshake di SSLv2 e SSLv3 e uno contenuto nel codice per la rappresentazione ASCII degli interi – e in un bug nelle routine di codifica del parser ASN.1. L’ultima delle vulnerabilità, la meno grave, può essere sfruttata solo per attacchi di tipo DoS.

I buffer overflow interessano tutte le versioni di OpenSSL più recenti della 0.9.6.e o, per quanto riguarda le pre-release, più recenti della 0.9.7-beta3. I server che adottano la versione 0.9.6d su sistemi a 32 bit con SSL 2.0 disabilitato non sono invece vulnerabili. Il bug nella codifica ASN.1 riguarda invece tutti i programmi OpenSSL che si avvalgono della libreria ASN.1 per analizzare i dati untrusted, fra cui le varie implementazioni dei protocolli SSL, TLS, S/MIME e PKCS#7.

OpenSSL.org ha già reso disponibili su questa pagina nuove versioni non vulnerabili di OpenSSL, la 0.9.6.e e la 0.9.7-beta3, e due patch per la 0.9.6d e la 0.9.7-beta2 .

OpenSSL.org dichiara che al momento non è a conoscenza di exploit volti a sfruttare queste falle di sicurezza, in ogni caso sollecita gli amministratori di sistema ad aggiornare quanto prima i propri server.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
1 ago 2002
Link copiato negli appunti