Scoperto grave bug in OpenSSL

openssl

Oggi è un triste giorno per gli amministratori di sistema: è stato divulgato pubblicamente un bug molto serio nella libreria crittografica OpenSSL, che costituisce buona parte della privacy che possiamo avere online. Il famigerato Heartbleed bug permette a chiunque su Internet di accedere alle chiavi private di cifratura dei contenuti web (applicazioni, email, messaggi istantanei, etc…) e di conseguenza decrittare dati, username e password, insomma ogni genere di traffico tra due parti che siano vulnerabili e il cui traffico sia passibile di essere ricevuto. Le versioni di OpenSSL affette da questa vulnerabilità sono dalla 1.0.1 fino alla 1.0.1f e la 1.0.2-beta1: è consigliato aggiornare immediatamente alla versione 1.0.1g, che è stata patchata in tempo record. Molti grandi provider di contenuti (Yahoo fra tanti) sono vulnerabili e non avranno la flessibilità adeguata per completare un aggiornamento in tempi rapidi, è quindi consigliato evitare di utilizzare i siti web indicati in questa lista fino alla notizia della risoluzione del problema.

Nel dettaglio del bug, l’introduzione in OpenSSL di una funzionalità per supportare il protocollo TLS/Heartbeat aveva un’implementazione errata: non era stato introdotto un check sul limite della memoria utilizzata; questo permette di generare un pacchetto TCP apposito per cui la risposta contenga fino a 64kB di informazioni riservate allo stack di memoria di OpenSSL. Questo comprende la chiave privata della crittografia ed è comprensibile che questa informazione non dovrebbe mai essere rivelata. Per testare se il proprio sito è vulnerabile consiglio questa applicazione Made in Italy fatta da Filippo Valsordahttp://filippo.io/Heartbleed/

 

2 risposte a “Scoperto grave bug in OpenSSL”

  1. Avatar moro

    Ho da poco aggiornato i vari server (Ubuntu12.04.3 LTS) ed ora secondo il test di Filippo Valsorda sembrano sicuri.
    Consigliate di rigenerare le chiavi di criptaggio dei dati (nel remoto caso in cui fosse stato sferrato un attacco sui miei ip?

    grazie

  2. Avatar Raoul Scarazzini

    Di fatto se i server erano affetti dal problema e sono rimasti esposti le chiavi private potrebbero essere state sottratte.
    Da qui a doverle rigenerare il discorso è soggettivo e direttamente dipendente dai servizi esposti: quante informazioni personali una persona in possesso delle chiavi potrebbe rubare?
    In base alla risposta a questa domanda si ha la successiva risposta al se rigenerare le chiavi o no.
    Certo è che tutta questa situazione è un bel macello.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *