Un pericoloso bug di sicurezza è stato scovato e subito corretto in LibreSSL, fork del progetto OpenSSL che ambisce a risolvere i molti problemi di quest’ultimo per evitare la comparsa di un nuovo bug “catastrofico” dello stesso livello dell’oramai famigerato Heartbleed .
Il nuovo baco di LibreSSL, individuato dal ricercatore Andrew Ayer, avrebbe potuto in realtà avere conseguenze persino peggiori di Heartbleed visto che riguardava il componente integrato per la generazione di numeri casuali (PRNG o Pseudo Random Number Generator). In certe specifiche condizioni, ha spiegato Ayer, il PRNG avrebbe potuto generare due numeri perfettamente identici aprendo le porte a ogni genere di attacco; a peggiorare la situazione c’è il fatto che un tale bug non è presente nemmeno nel super-bucato e mal gestito OpenSSL.
Il team di OpenBSD – responsabile del fork e dello sviluppo di LibreSSL – ha in realtà provato a ridimensionare la potenziale minaccia parlando di allarmi eccessivi e descrivendo il bug come un qualcosa che non sarebbe mai potuto succedere nel “codice reale” della libreria.
Giusto per essere sicuri, a ogni modo, gli sviluppatori hanno provveduto a rilasciare una patch in grado di eliminare il bug in LibreSSL. La patch arriva ad aggiornare un software che appena due giorni prima era stato rilasciato in versione 2.0 , una release pensata per riaffermare la vocazione alla “portabilità” di LibreSSL con l’eliminazione della gran parte delle dipendenze che ne impedivano l’utilizzo su sistemi operativi Unix-like diversi da OpenBSD.
Alfonso Maruccia
Ti potrebbe interessare
18 lug 2014