Heartbleed: non solo i server

by heartbleed.comQuando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂

Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.


Pubblicato

in

,

da

Commenti

7 risposte a “Heartbleed: non solo i server”

  1. Avatar Max
    Max

    La mia installazione di OpenVPN è sufficientemente vecchia: OpenSSL 0.9.8l 5 Nov 2009 🙂

    1. Avatar Luigi Rosa

      Al di la’ della battuta, bisogna stare attenti a non celebrare in maniera eccessiva le installazioni troppo vecchie perche’ potrebbero avere altri problemi 🙂

      1. Avatar Gino
        Gino

        E` vero le installazioni troppo vecchie possono avere problemi come la difficolta` di reperire nuove schede perforate, o, se ancora piu` vecchie, problemi di approvvigionamento di papiro e tavolette di argilla.

        1. Avatar Sandro
          Sandro

          😀

  2. […] SIAMO GEEK – Sperimentatori, entusiasti della tecnologia | Heartbleed: non solo i server. […]

  3. Avatar Max
    Max

    😉

  4. […] le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *