OpenSSL: ancora problemi di sicurezza

12 Giugno 2014 Francesco Lascia un commento Vai ai commenti

Dopo Heartbleed, l’importante falla di sicurezza del pacchetto OpenSSL scoperta ad aprile, arrivano 6 nuovi bollettini di sicurezza che portano alla luce altrettanti problemi per questo popolare pacchetto opensource: CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 e CVE-2014-3470.

Senza entrare eccessivamente nel dettaglio, ecco una breve descrizione dei sei bollettini di sicurezza:

  • CVE-2014-0224: SSL/TLS MITM vulnerability
  • CVE-2014-0221: DTLS recursion flaw
  • CVE-2014-0195: DTLS invalid fragment vulnerability
  • CVE-2014-0198: SSL_MODE_RELEASE_BUFFERS NULL pointer dereference
  • CVE-2010-5298: SSL_MODE_RELEASE_BUFFERS session injection or denial of service
  • CVE-2014-3470: Anonymous ECDH denial of service

Per mettersi in sicurezza è necessario aggironare i pacchetti con le seguenti versioni:

  • OpenSSL 0.9.8 SSL/TLS (client and/or server) devono aggiornare alla versione 0.9.8za
  • OpenSSL 1.0.0 SSL/TLS (client and/or server) devono aggiornare alla versione 1.0.0m
  • OpenSSL 1.0.1 SSL/TLS (client and/or server) devono aggiornare alla versione 1.0.1h

Inutile dire che molti prodotti commerciali utilizzano queste librerie e pertanto è necessario verificare con i diversi vendor quali prodotti sono vulnerabili e come metterli in sicurezza.

In particolare anche Citrix e VMware hanno rilasciato alcuni articoli. Sembra questa volta che l’impatto sia decisamente meno vasto, ma le indagini stanno ancora procedendo e potrebbero esserci aggiornamenti nei prossimi giorni.

Citrix Security Advisory for OpenSSL Vulnerabilities (June 2014)

VMware assessment of OpenSSL security vulnerabilities disclosed June 5, 2014 (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470) (2079783)

 

Per ulteriori informazioni:

  1. Nessun commento ancora...
  1. Nessun trackback ancora...