OpenSSL: nuovi aggiornamenti di sicurezza

Dimostrando di aver appreso la lezione impartita dalla recente crisi di sicurezza scatenata dalla scoperta del bug Heartbleed, il team di sviluppo di OpenSSL è ora impegnato ad aggiornare con una certa costanza la popolare libreria per le comunicazioni crittografiche in Rete. Uno di questi aggiornamenti arriverà nei prossimi giorni, e neanche a dirlo, servirà a correggere alcune vulnerabilità scoperte di recente.

Gli sviluppatori che si occupano dell'implementazione di OpenSSL – i quali dopo il succitato caso Heartbleed possono contare anche sul contributo economico delle grandi corporation di Internet – hanno quindi annunciato la distribuzione delle versioni 1.0.2f e 1.0.1r già disponibili per l'aggiornamento da alcune ore.

Le nuove release serviranno a correggere due diversi bachi di sicurezza, uno classificato con un livello di severità “alto” riguardante OpenSSL 1.0.2 e l’altro, con livello di priorità “bassa”, presente in tutte le versioni della libreria ancora supportate.

La vulnerabilità più pericolosa riguarda lo scambio di chiavi crittografiche secondo il metodo Diffie-Hellman, un sistema che nella release fallata non sarebbe del tutto sicuro e potrebbe facilitare gli attacchi contro connessioni su HTTPS, mentre il bug meno problematico riguarderebbe un potenziale rischio di attacco lato client, con la negoziazione di un algoritmo SSLv2 debole - e quindi più facilmente violabile da parte dei cyber-criminali.

Le release 1.0.0 e 0.9.8 di OpenSSL non sono più supportate dal 31 dicembre scorso, mentre la release 1.0.1 continuerà a ricevere aggiornamenti di sicurezza fino al 31 dicembre 2016. L’annuncio anticipato della distribuzione delle nuove versioni ha permesso agli amministratori di pianificare con un certo anticipo l’installazione degli update.

Via | OpenSSL