Corsi on-line

Rimuovere la vulnerabilità Heartbleed da OpenSSL

Heartbleed, il bug rilevato dagli analisti di Codenomicon a carico di alcune versioni della libreria crittografica OpenSSL, ha creato un vero e proprio allarme e ha obbligato numerosi amministratori di sistema ad interventi di emergenze sulle configurazioni dei propri ambienti di produzione; OpenSSL è una soluzione per l’implementazione di TLS (Transport Layer Security) utilizzata in Web server come Apache ed Nginx (tra i più diffusi) e in varie distro basate su Linux, quindi, almeno in teoria, la falla avrebbe potuto spianare la strada a pericolose azioni mirate alla sottrazione di dati sensibili.

OpenSSLOra che in molti stanno ragionevolmente correndo ai ripari (si parla di oltre il 65% delle risorse Web coinvolte dalla potenziale minaccia di un attacco), sarebbe comunque opportuno riportare l’accaduto alla sua giusta dimensione; con questo non voglio minimizzare l’entità della vulnerabilità rilevata e le sue possibili conseguenze, ma semplicemente sottolineare che a fronte di una preoccupazione realmente motivata sono comunque disponibili alcune soluzioni di semplice applicazione.

Dal punto di vista dell’utenza, l’unico onere previsto dovrebbe essere quello di resettare le proprie credenziali per l’autenticazione, quindi nel caso in cui un provider di servizi (posta elettronica, home banking, social network..) dovesse richiedere questa procedura, sarà bene effettuarla quanto prima; dal punto di vista tecnico, invece, bisognerà innanzitutto tenere conto della versione di OpenSSL utilizzata. Heartbleed infatti sarebbe già dalla fine del 2011.

Come anticipato la problematica riguarda l’estensione Heartbeat della libreria coinvolgendo tutte le release comprese tra la 1.0.1 alla 1.0.1f, quindi gli ambienti che sfruttano versioni precedenti alla 1.0.1 e successive alla 1.0.1f non sarebbero interessate dal problema; la 1.0.1g (rilasciata lo scorso 7 aprile 2014) non rappresenterebbe, per esempio, una release affetta dal bug; OpenSSL 1.0.2 presenta già l’apposito fixing in 1.0.2-beta2.

Coloro che però, per un qualsiasi motivo, non potessero migrare ad un rilascio più recente, avranno comunque la possibilità di effettuare una ricompilazione attivando la flag OPENSSL_NO_HEARTBEATS.

Via The Heartbleed Bug

Post correlati
I più letti del mese
Tematiche