Heartbleed: non solo i server

by heartbleed.comQuando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? ūüôā

Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

√ą quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

Aggiornamento 13 aprile 2014 РUno script in Python permette di verificare se un client è vulnerabile.

Heartbleed

by heartbleed.comHeartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse.

OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.

Microsoft Internet Information Server non è interessato da questo problema.

I prodotti Apple non sono interessati dal problema, con l’eccezione dell’AirPort per cui √® disponibile un aggiornamento.

Tutto √® cominciato nel 2012 con la release di OpenSSL 1.0.1 che introduce il supporto di RFC6520 e implementa l’heartbeat sulle connessioni TLS. Questa funzione serve a mantenere il canale aperto e impedire, quindi, che client e server debbano rinegoziare la connessione in caso di temporanea inattivit√†. L’espediente dell’heartbeat o keep-alive √® utilizzato in molti contesti in cui si invia un pacchetto dati senza informazioni con il solo scopo di resettare eventuali contatori di inattivit√†.

Il problema di OpenSSL √® che una riposta al’heartbeat modificata ad arte pu√≤ rivelare all’attaccante informazioni di vario tipo. Non √® possibile utilizzare questa vulnerabilit√† per eseguire codice sul server remoto, ma questo non √® certo un fattore mitigante, vediamo perch√©. Leggi tutto “Heartbleed”