Il progetto OpenSSL ha aggiornato la policy per la distribuzione pubblica di informazioni su bug e vulnerabilità di sicurezza, una policy che ora si è fatta più flessibile e che prevede condizioni specifiche per i produttori di distro Linux. Che verranno aggiornati in anticipo, ma solo nei casi più gravi.
La nuova policy regolamenta il modo in cui OpenSSL gestirà d’ora in poi l’embargo sulla disclosure dei bug individuati nel codice della libreria da tempo al centro della scena e delle polemiche, classificando le falle con tre livelli di rischio in proporzione alla loro gravità.
I bug di “bassa gravità” – come gli exploit difficili da sfruttare – verranno quindi resi pubblici “immediatamente” in contemporanea con l’annuncio della disponibilità di un fix, quelli di “gravità moderata” (forieri di crash, exploit locali e altro) verranno invece tenuti segreti fino all’arrivo di una nuova release di OpenSSL che corregge il problema.
Nel caso di bug molto gravi, infine, l’embargo verrà mantenuto fino alla pubblicazione di nuove versioni della libreria per tutte le major release supportate, mentre per le organizzazioni produttrici di sistemi operativi general purpose (incluse quindi le distro Linux) è prevista una notifica anticipata di qualche giorno per preparare pacchetti di aggiornamento per gli utenti.
OpenSSL si muove per migliorare la sicurezza della libreria in seguito all’esplosione della crisi Heartbleed , ma fortunatamente per gli utenti e il Web nel suo complesso dalle analisi risulta che la falla fosse ignota prima che i ricercatori ne rendessero pubblica l’esistenza. Nessuna agenzia a tre lettere avrebbe quindi potuto sfruttarla per spiare e intercettare le attività telematiche degli utenti.
Alfonso Maruccia