Un bug in GnuTLS mette a rischio la privacy

0

ssl_tls

La libreria crittografica open source GnuTLS si occupa di fornire le funzionalità di base per SSL e TLS ed è presente su molte distribuzioni Linux tra cui Red Hat, Ubuntu e Debian: un bug scoperto recentemente permette a chi lo sfrutti di aggirare le misure di sicurezza e privacy che la stessa libreria dovrebbe fornire. Siccome la vulnerabilità è presente nel codice dal lontano 2005 non è difficile immaginare che sia stata scoperta e utilizzata da qualcuno o più per intercettare gli scambi di informazioni che SSL e TLS dovevano rendere privati.

Il bug è dovuto all’errata verifica dell’autenticità dei certificati X509 e causa la terminazione del controllo anche in presenza di errori: in questo modo il traffico dati generato da qualsiasi applicazione mobile, e-mail o software che utilizzi GnuTLS per cifrare i dati può essere decriptato e ricriptato da un intermediario che intercetti lo scambio dati, rendendo di fatto inesistente la privacy. La vulnerabilità è molto simile a quella scoperta pochi giorni fa per Mac OSX, nominata bug “goto fail” e risolta in breve tempo con una patch da Cupertino. Una pronta correzione del problema dalla comunità open source per GnuTLS è stata rilasciata ieri con un avviso ufficiale che invita gli utenti ad aggiornare alla versione 3.2.12.