Tag: OpenSSL
-
Codice inutile
Philip Guenther ha scoperto una chicca nei sorgenti di OpenSSL che dimostra quanto quel codice sia oramai inadeguato. Per arrivare alla chicca bisogna partire un pochino da lontano.
-
Aggiornamenti OpenSSL
Sono appena state rilasciate le nuove versioni di OpenSSL 1.0.2a, 1.0.1m, 1.0.0r e 0.9.8.zf Gli aggiornamenti correggono bachi di severità alta (1.0.2a) o moderata (tutte le altre) delle versioni precedenti.
-
File dei certificati SSL
Più studio i dettagli e i dietro le quinte di SSL/TLS e della PKI e più mi rendo conto di quanti (troppi?) livelli di complessità ci siano in questo insieme di tecnologie. Tra questi ci sono i formati dei file e le loro estensioni. Anche in questo caso vale la regola che il bello degli…
-
Prima versione di LibreSSL
È stata rilasciata la prima versione di LibreSSL, aggiornata oggi alla 2.0.1. LibreSSL si propone come rimpiazzo di OpenSSL dopo i problemi iniziati con heartbleed. Il team di BSD ha avviato il progetto con l’intenzione di produrre un codice meno fumoso, più stabile e sicuro. Il codice di OpenSSL ha sulle spalle una lunga storia di…
-
Prendere senza dare
Per alcuni capi progetto avidi l’open source e assimilati rappresentano solamente una cornucopia da cui attingere a piene mani. In pochi tra i big della tecnologia hanno scelto di non utilizzare software con licenze GPL o similari; tra questi, ovviamente, Microsoft, anche se è impossibile resistere alla tentazione di rubare (RUBARE!) senza rispettare i termini…
-
Heartbleed: anche le password
Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti. Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze…
-
Heartbleed: non solo i server
Quando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server. Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂 Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme. I programmi client utilizzano le…
-
Heartbleed
Heartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse. OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.…
-
Defacement del sito di OpenSSL
Il 29 dicembre scorso verso le 01:00UTC la home page del sito di OpenSSL ha subito un defacement ed è stata sostituita con il messaggio TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _ I file del sito sono stati ripristinati entro le due ore successive, ma i dettagli dell’attacco si sono fatti attendere. Solamente due…