Una grave vulnerabilita' e' stata riscontrata nel software
OpenSSL.
La vulnerabilita' riguarda solo determinate versioni e non
coinvolge versioni precedenti la 1.0.1
Gli attacchi che sfruttano questa vulnerabilita' permettono ad
una terza parte di recuperare chiavi private, password e altri
tipi di credenziali scambiati durante comunicazioni SSL/TLS
basate su versioni vulnerabili
Per una descrizione completa delle vulnerabilita' si rimanda
alla sezione 'Riferimenti'.
:: Software interessato
Tutti i sistemi e software che usano le seguenti versioni:
OpenSSL 1.0.1 (fino alla versione 1.0.1f)
OpenSSL 1.0.2 (fino alla versione 1.0.2-beta1)
:: Impatto
Esposizione di informazioni sensibili
:: Soluzioni
- Aggiornare il software alle versioni:
OpenSSL 1.0.1g
OpenSSL 1.0.2-beta2
Se non fosse possibile un upgrade per il s.o. in uso ricompilare
OpenSSL con l'opzione -DOPENSSL_NO_HEARTBEATS
- Rigenerare i certificati usati su server affetti dalla
vulnerabilita'
Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT