Heartbleed: non solo i server

by heartbleed.comQuando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂

Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

Aggiornamento 13 aprile 2014 РUno script in Python permette di verificare se un client ̬ vulnerabile.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

7 pensieri riguardo “Heartbleed: non solo i server”

    1. Al di la’ della battuta, bisogna stare attenti a non celebrare in maniera eccessiva le installazioni troppo vecchie perche’ potrebbero avere altri problemi 🙂

      1. E` vero le installazioni troppo vecchie possono avere problemi come la difficolta` di reperire nuove schede perforate, o, se ancora piu` vecchie, problemi di approvvigionamento di papiro e tavolette di argilla.

Spazio per un commento