OpenSSL è, purtroppo, di nuovo nell’occhio del ciclone.
Come infatti segnalato da Phoronix, OpenBSD Journal, Seclist e dal sito di OpenSSL stesso sono emerse quattro nuove vulnerabilità che corrispondono a quattro nuovi CVE (Common Vulnerabilities and Exposures):

1. CVE-2015-0209 – Use After Free following d2i_ECPrivatekey error
2. CVE-2015-0286 – Segmentation fault in ASN1_TYPE_cmp
3. CVE-2015-0287 – ASN.1 structure reuse memory corruption
4. CVE-2015-0289 – PKCS7 NULL pointer dereferences

I rischi per queste vulnerabilità sono Denial Of Service distribuiti e corruzione di memoria… Non certo qualcosa da sottovalutare, in particolare per siti pubblici.

Interessante valutare l’aspetto relativo all’impatto di queste vulnerabilità che risulta minimo all’interno del fork di OpenSSL, LibreSSL (di cui abbiamo già parlato qui).

Questa nuova vulnerabilità riporta quindi di attualità la validità del progetto OpenSSL stesso, il cui problema essenziale è la diffusione capillare nelle installazioni comuni, tale da esporre una quantità spropositata di macchine ad ogni problema. LibreSSL è sicuramente una via alternativa, ma l’impatto in termini di lavoro per la sostituzione delle librerie su macchine esistente in cosa potrebbe essere quantificabile? Anni luce?

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.