Red Hat scopre una falla in OpenSSL

openssl_logo.gif

Una falla in OpenSSL è stata scoperta da Red Hat, che ha prontamente segnalato la cosa e ha provveduto a fornire un rimedio per eliminarla. Una vulnerabilità che, se sfruttata, permette l’esecuzione di codice maligno da parte di un eventuale malintenzionato.

Le versioni coinvolte sono quelle dalla 0.9.8f alla 0.9.8o, oltre che la 1.0.0 e la 1.0.0a. La fonte del problema è stata rintracciata nel codice di OpenSSL relativo al parsing di estensioni TLS: nel caso in cui più sessioni cerchino di impostare un host name si viene a creare una situazione overflow, sfruttabile da remoto per l’esecuzione di 255 byte di codice.

Gli sviluppatori di OpenSSL hanno subito ridimensionato il problema, affermando che riguarda solo macchine sulle quali sia stato abilitato il multi-threading e che utilizzano il sistema interno di caching di OpenSSL. La cerchia dei computer a rischio viene così ristretta, ma non del tutto eliminata.

La soluzione migliore per tappare la falla è quella di aggiornare i pacchetti alle ultime versioni disponibili, 0.9.8p e 1.0.0b, fornite dalla stessa Red Hat. Per maggiori dettagli è disponibile il bugzilla ufficiale del gruppo che mette a disposizione ulteriori informazioni.

Tag: ,

Commenti

  1. [1]

    Oggi (giovedì 18) tra gli updates di ubuntu maverick c’era openSSL 0.9.8 e nel changelog c’era segnalata una falla di sicurezza corretta. Ubuntu è a posto :)

  2. [2]

    abba, confermo ed aggiungo che Canonical nel rilasciare l’update è molto celere, ovviamente ringraziando Debian.

  3. [3]

    e RedHat :)

  4. [4]

    Debian 6 a posto :)

Inserisci il tuo commento