Capire se OpenSSL è vulnerabile a CVE-2014-0160 Heartbleed
Le versioni affette dal bug
Come riesco quindi a comprendere se il mio sistema è vulnerabile?
Questa domanda è sicuramente molto ma molto importante. Cominciamo quindi con il porre dei limiti: le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 fino alla 1.0.1f inclusa, tutte le altre versioni non risultano essere compromesse. Il problema risiede nel fatto che le versioni contenenti il bug sono quelle rilasciate negli ultimi due anni.
Il protocollo di cifratura è sicuro
Chiariamo a questo punto un concetto di base, questo bug è un errore di implementazione, non un buco nel protocollo di cifratura, quindi solo i programmi che usano le librerie di OpenSSL ed implementano il protocollo SSL ne risultano affette, se invece vengono utilizzate per altri motivi, questi non sono affetti da bug.
Il rischio proveniente da tale vulnerabilità di implementazione, viene mitigato con l’ultimo update del software OpenSSL 1.0.1 g rilasciato in data 7 aprile 14′.
Ma mentre la risoluzione lato server è mitigata in questo modo ben più complessa è la situazione per quanto riguarda differenti dispositivi di rete anch’essi affetti da tale vulnerabilità, ossia gli utenti, i mobile device e anche dispositivi di rete quali i router.
Analizzeremo questi aspetti nella prossima parte dell’articolo.
Cosa Facciamo
Casi di Successo
Un'azienda di ottica con diversi centri in tutta Italia usa le nostre soluzioni Software aziendali e Cloud Development per gestire tutto il proprio personale.
CONTATTI
Tel +39 06 87811067
Fax +39 06 99335373
Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it
Dove Siamo
Roma: Piazza Don Sturzo 15
Padova: Via Savonarola 217
Milano: Viale Monza 345
Torino: Via Nizza 262
Seguici