Scoperte (e corrette) due gravi vulnerabilità in OpenSSL

Due vulnerabilità gravi sono state scoperte in OpenSSL, libreria software utilizzata per gestire la cifratura delle connessioni con i protocolli SSL e TLS . Il progetto che si occupa dello sviluppo ha rilasciato una nuova versione che elimina il problema, OpenSSL 1.1.1k.

Due vulnerabilità gravi in OpenSSL aprono ad attacchi denial of service

La prima vulnerabilità, individuata con il numero CVE-2021-3449, permette di mandare in crash un server OpenSSL con un messaggio appositamente creato e, dunque, di portare avanti quello che è a tutti gli effetti un attacco di tipo denial of service. La vulnerabilità è presente solo quando sono attivi sia TLS 1.2 che la rinegoziazione ma, dato che tale impostazione è comunemente usata come predefinita, si tratta di un problema significativo.

La seconda vulnerabilità è invece individuata dal numero CVE-2021-3449 e nasce da controlli aggiuntivi svolti dalla libreria quando impostata affinché vengano rifiutati certificati non provenienti da una Certification Authorityun difetto nel codice fa sì che l’abilitazione di questa modalità più restrittiva disabilitasse in realtà tale controllo. Era possibile sfruttare la falla solo in condizioni particolari, quando non veniva impostato uno scopo per il controllo del certificato o veniva modificato quello predefinito.

Tutte le versioni precedenti alla 1.1.1k sono affette dalle vulnerabilità. Tutte le principali distribuzioni Linux hanno provveduto a rilasciare versioni aggiornate. Vista la gravità, è consigliabile applicare quanto prima gli aggiornamenti. Ulteriori dettagli tecnici sono disponibili nell’avviso di sicurezza pubblicato da OpenSSL.

Fonte: http://feeds.hwupgrade.it/