OpenSSL è, purtroppo, di nuovo nell’occhio del ciclone.
Come infatti segnalato da Phoronix, OpenBSD Journal, Seclist e dal sito di OpenSSL stesso sono emerse quattro nuove vulnerabilità che corrispondono a quattro nuovi CVE (Common Vulnerabilities and Exposures):
- CVE-2015-0209 – Use After Free following d2i_ECPrivatekey error
- CVE-2015-0286 – Segmentation fault in ASN1_TYPE_cmp
- CVE-2015-0287 – ASN.1 structure reuse memory corruption
- CVE-2015-0289 – PKCS7 NULL pointer dereferences
I rischi per queste vulnerabilità sono Denial Of Service distribuiti e corruzione di memoria… Non certo qualcosa da sottovalutare, in particolare per siti pubblici.
Interessante valutare l’aspetto relativo all’impatto di queste vulnerabilità che risulta minimo all’interno del fork di OpenSSL, LibreSSL (di cui abbiamo già parlato qui).
Questa nuova vulnerabilità riporta quindi di attualità la validità del progetto OpenSSL stesso, il cui problema essenziale è la diffusione capillare nelle installazioni comuni, tale da esporre una quantità spropositata di macchine ad ogni problema. LibreSSL è sicuramente una via alternativa, ma l’impatto in termini di lavoro per la sostituzione delle librerie su macchine esistente in cosa potrebbe essere quantificabile? Anni luce?
