C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica

Annunciata con largo anticipo da Mark Cox, sviluppatore Red Hat e VP security della Apache Software Foundation, la versione 3.0.7 di OpenSSL è una di quelle a cui tutti noi dovremmo prestare particolare attenzione.

Il motivo risiede nell’entità dell’annuncio:

Il quale contiene la risoluzione a una CVE ritenuta di entità Critical. Questa dizione non è mai utilizzata con leggerezza nell’ambito delle vulnerabilità, perciò come segnala ZDNet, è bene non sottovalutarla.

Quindi sì, al solito è bene predisporre il consueto giro di patch se nei vostri workload è previsto l’utilizzo della versione 3 di OpenSSL.

Altro aspetto interessante riguardo questo annuncio è relativo al tweet in sé che è datato 25 ottobre e su cui gli utenti, già nelle risposte sottostanti, si sono interrogati. Perché infatti annunciare la pubblicazione di una nuova versione con una settimana di anticipo? Qualcuno, giustamente, si è chiesto se questa modalità in realtà non favorisse eventuali attackers dandogli il tempo di sfruttare la vulnerabilità prima che la patch sia disponibile.

In realtà questa modalità di annuncio è parte della policy standard del progetto OpenSSL, perciò nessun tentativo di favorire cracker o affini.

Ad ogni modo comunque la faccenda è “seria”. Tanto per dare un’idea l’ultima volta che una situazione del genere si era verificata per il progetto OpenSSL era il lontano 2016, pertanto non siamo di fronte a qualcosa di usuale.

Tenete presente che OpenSSL 3 è utilizzata da Red Hat Enterprise Linux 9 e da Ubuntu 22.04, chi utilizza questi sistemi è bene si predisponga.

Al momento della scrittura di questo articolo la patch dovrebbe essere disponibile da due giorni, pertanto… Aggiornate, aggiornate, aggiornate!


Update del 03/11/2022, ore 20:30: come segnalato nei commenti la CVE, che ora ha un numero, CVE-2022-3786, è in realtà stata abbassata a severità “HIGH”, pertanto sebbene l’aggiornamento sia sempre super consigliato, la gravità del problema è certamente ridimensionata.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , ,