Le disgrazie quando arrivano, arrivano tutte insieme: dopo aver discusso il problema rilevato su GnuTLS martedì, ieri OpenSSL è caduto ancora preda di una vulnerabilità!

Un problema nel codice di oltre 10 anni fa è stato rilevato solo ora; di nuovo sembra di essere in caso simile a Heartbleed, capitolo 2, in cui quella che si riteneva una comunicazione criptata e quindi privata tra due parti diventa leggibile a chiunque la intercetti. La colpa stavolta non è nella parte server, ma nel client: un’implementazione non corretta di una parte specifica di TLS chiamata CCS (ChangeCipherSpec) permette a chi intercetti il traffico criptato con OpenSSL di decifrarlo e spedirlo al destinatario senza che sia possibile rilevare il furto di informazioni. Un classico caso di MITM (Man In The Middle) che avrebbe permesso dal lontano 2004, anno in cui è stato introdotto il bug nel codice, a oggi di decifrare qualsiasi comunicazione cifrata con OpenSSL. Tutto è spiegato molto bene nel blog dello scopritore del bug Masashi Kikuchi.

La OpenSSL Foundation ha rilasciato un annuncio ufficiale della vulnerabilità, che impatta tutte le versioni client e qualche nuova versione server; c’è di positivo che entrambe le parti devono essere vulnerabili perché sia sfruttata la debolezza, il campo di applicazione del bug quindi è limitato alla combinazione dei due. Per entrambi è stata rilasciata una versione corretta che è disponibile al download, a breve dovrebbero essere aggiornati anche i pacchetti delle distribuzioni.

Francesco Gualazzi