Dopo Heartbleed, l’importante falla di sicurezza del pacchetto OpenSSL scoperta ad aprile, arrivano 6 nuovi bollettini di sicurezza che portano alla luce altrettanti problemi per questo popolare pacchetto opensource: CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 e CVE-2014-3470.
Senza entrare eccessivamente nel dettaglio, ecco una breve descrizione dei sei bollettini di sicurezza:
- CVE-2014-0224: SSL/TLS MITM vulnerability
- CVE-2014-0221: DTLS recursion flaw
- CVE-2014-0195: DTLS invalid fragment vulnerability
- CVE-2014-0198: SSL_MODE_RELEASE_BUFFERS NULL pointer dereference
- CVE-2010-5298: SSL_MODE_RELEASE_BUFFERS session injection or denial of service
- CVE-2014-3470: Anonymous ECDH denial of service
Per mettersi in sicurezza è necessario aggironare i pacchetti con le seguenti versioni:
- OpenSSL 0.9.8 SSL/TLS (client and/or server) devono aggiornare alla versione 0.9.8za
- OpenSSL 1.0.0 SSL/TLS (client and/or server) devono aggiornare alla versione 1.0.0m
- OpenSSL 1.0.1 SSL/TLS (client and/or server) devono aggiornare alla versione 1.0.1h
Inutile dire che molti prodotti commerciali utilizzano queste librerie e pertanto è necessario verificare con i diversi vendor quali prodotti sono vulnerabili e come metterli in sicurezza.
In particolare anche Citrix e VMware hanno rilasciato alcuni articoli. Sembra questa volta che l’impatto sia decisamente meno vasto, ma le indagini stanno ancora procedendo e potrebbero esserci aggiornamenti nei prossimi giorni.
Citrix Security Advisory for OpenSSL Vulnerabilities (June 2014)
Per ulteriori informazioni: