C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica

Raoul Scarazzini
8

Annunciata con largo anticipo da Mark Cox, sviluppatore Red Hat e VP security della Apache Software Foundation, la versione 3.0.7 di OpenSSL è una di quelle a cui tutti noi dovremmo prestare particolare attenzione.

Il motivo risiede nell’entità dell’annuncio:

Il quale contiene la risoluzione a una CVE ritenuta di entità Critical. Questa dizione non è mai utilizzata con leggerezza nell’ambito delle vulnerabilità, perciò come segnala ZDNet, è bene non sottovalutarla.

Quindi sì, al solito è bene predisporre il consueto giro di patch se nei vostri workload è previsto l’utilizzo della versione 3 di OpenSSL.

Altro aspetto interessante riguardo questo annuncio è relativo al tweet in sé che è datato 25 ottobre e su cui gli utenti, già nelle risposte sottostanti, si sono interrogati. Perché infatti annunciare la pubblicazione di una nuova versione con una settimana di anticipo? Qualcuno, giustamente, si è chiesto se questa modalità in realtà non favorisse eventuali attackers dandogli il tempo di sfruttare la vulnerabilità prima che la patch sia disponibile.

In realtà questa modalità di annuncio è parte della policy standard del progetto OpenSSL, perciò nessun tentativo di favorire cracker o affini.

Ad ogni modo comunque la faccenda è “seria”. Tanto per dare un’idea l’ultima volta che una situazione del genere si era verificata per il progetto OpenSSL era il lontano 2016, pertanto non siamo di fronte a qualcosa di usuale.

Tenete presente che OpenSSL 3 è utilizzata da Red Hat Enterprise Linux 9 e da Ubuntu 22.04, chi utilizza questi sistemi è bene si predisponga.

Al momento della scrittura di questo articolo la patch dovrebbe essere disponibile da due giorni, pertanto… Aggiornate, aggiornate, aggiornate!

Update del 03/11/2022, ore 20:30: come segnalato nei commenti la CVE, che ora ha un numero, CVE-2022-3786, è in realtà stata abbassata a severità “HIGH”, pertanto sebbene l’aggiornamento sia sempre super consigliato, la gravità del problema è certamente ridimensionata.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, ,

8 risposte a “C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica”

  1. Avatar JustATiredMan
    JustATiredMan

    L’ugrapde è d’obbligo quando si parla di ssl, speriamo solo non ci siano rogne con i certificati generati con le versioni precedenti.

  2. Avatar Mark
    Mark

    Fortunatamente è stata “downgradata” da critical a high, non vorrei usare l’espressione “molto rumore per nulla”, ma diciamo che all’inizio sono stati un po’ più catastrofisti del necessario 🙂

  3. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Grazie della segnalazione, ne ho approfittato per aggiornare l’articolo con il riferimento alla CVE.

  4. Avatar sabayonino
    sabayonino

    L’Uscita di Fedora 37 è stata posticipata per questo motivo

  5. Avatar sabayonino
    sabayonino

    L’Uscita di Fedora 37 è stata posticipata per questo motivo

  6. Avatar Tecno
    Tecno

    Salve vi scrivo per chiedervi un aiuto non essendo molto esperto del mondo Linux: ho Ubuntu 22.04.2 LTS (Jammy Jellyfish) installato con wsl 2 su una macchina Windows e ho openssl in versione 3.0.2 ,vi scrivo per chiedervi con quali comandi da terminale si puo aggiornare alla versione 3.0.7 che ha corretto le vulnerabilità critiche? Grazie mille notte

  7. Avatar Raoul Scarazzini
    Raoul Scarazzini

    Come spiegato qui https://ubuntu.com/security/CVE-2022-3786 se hai la versione del pacchetto 3.0.2-0ubuntu1.7 (o successiva) questa include la fix.
    Per verificarlo basta che digiti:

    dpkg -l openssl

  8. Avatar Tecno
    Tecno

    Ok grazie mille buona giornata

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (4) Notizie (2916) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (62) Fedora (54) Firefox (36) GitHub (68) Gitlab (31) Google (85) IBM (51) Intel (54) KDE (35) Kernel (219) Kubernetes (90) Linux (674) LinuxFoundation (31) LTS (33) Malware (55) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (324) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (47) RHEL (37) SaturdaysTalks (45) Sicurezza (91) Software (36) SUSE (34) systemd (74) Torvalds (79) Ubuntu (169) Vulnerabilità (56) Windows (80)