Corsi on-line

Pericolosa vulnerabilità (anche) in LibreSSL

LibreSSL è un fork, cioè una versione derivata, della libreria crittografica OpenSSL e, come quest’ultima,  rappresenta un’implementazione dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security); nello specifico LibreSSL nasce in seguito all’individuazione del bug Heartbleed a carico di OpenSSL, una vulnerabilità in grado di generare delle fuoriuscite di memoria (memory leak) potenzialmente sfruttabili per l’accesso a comunicazioni riservate da parte di terzi non autorizzati tramite attacco man in the middle.

LibreSSLLibreSSL dovrebbe essere inoltre il risultato di un’importante azione di revisione a carico del codice sorgente originale di OpenSSL (scritto in linguaggio C) considerato particolarmente caotico anche dagli stessi sviluppatori che ne curano l’implementazione; attraverso di essa sarebbero state rimosse ben 90 mila linee di listato, ma tutto questo lavoro non si sarebbe rivelato sufficiente per evitare che il fork presentasse anch’esso vulnerabilità preoccupanti.

Nello specifico, LibreSSL sarebbe stato affetto da una falla a carico del componente deputato alla generazione di numeri casuali, parliamo quindi del PRNG (Pseudo Random Number Generator); in determinate situazioni quest’ultimo avrebbe potuto produrre coppie composte dai medesimi numeri e utilizzabili ai fini di un eventuale attacco da parte di utenti malintenzionati. Nonostante la necessità di condizioni precise per lo sfruttamento del bug, almeno in teoria esso avrebbe potuto rivelarsi più pericoloso rispetto a Heartbleed.

In Heartbleed infatti, le porzioni di memoria fuoriuscite erano comunque di piccola entità (poche decine di Kb), quindi non poi così semplici da adottare ai fini di un potenziale attacco, inoltre, è da sottolineare il fatto che l’ultima vulnerabilità emersa potrebbe essere il risultato della già citata opera di code refactoring operata sul sorgete di OpenSSL; quest’ultimo infatti non presenterebbe la stessa falla individuata nel suo fork.

A favore degli sviluppatori di OpenBSD che curano il progetto andrebbe comunque detto che, mentre Heartbleed sarebbe rimasto latente e non scoperto per anni in OpenSSL, la vulnerabilità di LibreSSL avrebbe avuto invece una rapida soluzione con il rilascio quasi immediato del necessario aggiornamento di sicurezza.

Via OpenSSL Valhalla Rampage

Post correlati
I più letti del mese
Tematiche