Aggiornato OpenSSL, risolto un bug critico

Aggiornato OpenSSL, risolto un bug critico

Il team di sviluppo di OpenSSL ha annunciato il rilascio di una nuova versione del software che va a correggere una vulnerabilità piuttosto critica

di Fabio Gozzo pubblicata il , alle 12:02 nel canale Sicurezza
 

Nel corso della giornata di ieri, il team di sviluppo di OpenSSL, ha pubblicato un nuovo bollettino di sicurezza per informare che le versioni dalla 0.9.8f fino alle 0.9.8o, la 1.0.0 e la 1.0.0a sono afflitte da una vulnerabilità che può essere sfruttata da remoto per causare un Denial of Service o per eseguire arbitrariamente codice malevolo.

Tale vulnerabilità, contrassegnata con il codice CVE-2010-3864, è considerata dagli esperti di Secunia come moderatamente critica ed è dovuta ad una falla presente nelle estensioni TLS del server OpenSSL che può essere sfruttata per sferrare un attacco basato su buffer overflow.

Per far si che gli attacchi abbiano successo è tuttavia necessario che il server sia multi-thread e che utilizzi le funzionalità di internal caching di OpenSSL. Server multi-process o che hanno l'internal caching disabilitato, come ad esempio Apache HTTP Server e Stunnel, risultano immuni al problema.

Attualmente gli sviluppatori di OpenSSL hanno già provveduto a rilasciare delle versioni aggiornate del software che risolvono il problema: gli utenti del ramo OpenSSL 0.9.x possono installare la versione 0.9.8p, mentre per gli utenti delle release 1.0.x è disponibile la versione 1.0.0b.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^