Heartbleed – Nuovo bug di sicurezza per openssl

Heartbleed – Nuovo bug di sicurezza per openssl

Viene minacciata nuovamente la privacy dei dati che corrono su internet,  un nuovo bug di sicurezza (Heartbleed CVE-2014-0160) di OpenSsl, causato da una errata implementazione, mette a rischio i dati cifrati con SSL. Questa volta il bug è molto serio.

La debolezza permette di rubare le informazioni che in condizioni normali sono protette dalla cifratura SSL / TLS  utilizzata in Internet, per esempio,  dal protocollo Https .

Vi ricordo che il protocollo SSL garantisce la sicurezza e la privacy delle comunicazioni che viaggiano su Internt (ad esempio web, siti finanziari, email, vpn e altro ancora).

Il bug Heartbleed consente a chiunque su Internet di leggere la memoria dei server protetti da versioni openssl  vulnerabili. Questa situazione permette di  compromettere la chiave privata usata dal server che usa openssl e  utilizzarla leggere traffico cifrato o le credenziali degli utenti.

In altre parole è possibile  intercettare  le comunicazioni cifrate che viaggiano su Internet o rubare i dati direttamente dai servizi o dagli utenti o, ancora, impersonare servizi/siti in maniera illecita.

Versione di OpenSsl affette dal bug:

  • OpenSSL 1.0.1 fino  1.0.1f (compreso) sono vulnerabili
  • OpenSSL 1.0.1g non è vulnerabile
  • OpenSSL 1.0.0  non è vulnerabile
  • OpenSSL 0.9.8  non è vulnerabile

Il bug è stato introdotto per OpenSSL nel dicembre 2011 ed è stato fuori nel selvaggio dal OpenSSL rilascio 1.0.1 il 14 Marzo 2012.

OpenSSL versione 1.0.1g pubblicato il 7 Aprile 2014 corregge il bug.

Potete trovare maggiori informazioni attraverso il sito HeartBleed

Se volete testare il proprio sito e verificare se e’ affetto dal bug potete usare il sito HeartBleed Test

Vi consiglio, anche, di dare uno sguardo alle slide: “L’arte dell’intercettazione 2.0

E’ fondamentale  non  solo aggiornare la versione di Openssl su un serve affetto ma anche revocare la chiave usata sino ad ora, soprattutto se il server eroga servizi (HTTPS, Vpn e altro) verso Internet.

keep-calm-and-patch-openssl
keep-calm-and-patch-openssl
Ti piace? Condividilo con i tuoi amici:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.