Quando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.
Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂
Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.
I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.
La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.
È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.
Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.
7 risposte a “Heartbleed: non solo i server”
La mia installazione di OpenVPN è sufficientemente vecchia: OpenSSL 0.9.8l 5 Nov 2009 🙂
Al di la’ della battuta, bisogna stare attenti a non celebrare in maniera eccessiva le installazioni troppo vecchie perche’ potrebbero avere altri problemi 🙂
E` vero le installazioni troppo vecchie possono avere problemi come la difficolta` di reperire nuove schede perforate, o, se ancora piu` vecchie, problemi di approvvigionamento di papiro e tavolette di argilla.
😀
[…] SIAMO GEEK – Sperimentatori, entusiasti della tecnologia | Heartbleed: non solo i server. […]
😉
[…] le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati […]