Back to top

Capire se OpenSSL è vulnerabile a CVE-2014-0160 Heartbleed

Le versioni affette dal bug

Come riesco quindi a comprendere se il mio sistema è vulnerabile?

Questa domanda è sicuramente molto ma molto importante. Cominciamo quindi con il porre dei limiti: le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 fino alla 1.0.1f inclusa, tutte le altre versioni non risultano essere compromesse. Il problema risiede nel fatto che le versioni contenenti il bug sono quelle rilasciate negli ultimi due anni.

Il protocollo di cifratura è sicuro

Chiariamo a questo punto un concetto di base, questo bug è un errore di implementazione, non un buco nel protocollo di cifratura, quindi solo i programmi che usano le librerie di OpenSSL ed implementano il protocollo SSL ne risultano affette, se invece vengono utilizzate per altri motivi, questi non sono affetti da bug.

Il rischio proveniente da tale vulnerabilità di implementazione, viene mitigato con l’ultimo update del software OpenSSL 1.0.1 g rilasciato in data 7 aprile 14′.

Ma mentre la risoluzione lato server è mitigata in questo modo ben più complessa è la situazione per quanto riguarda differenti dispositivi di rete anch’essi affetti da tale vulnerabilità, ossia gli utenti, i mobile device e anche dispositivi di rete quali i router.

Analizzeremo questi aspetti nella prossima parte dell’articolo.

CONTATTI

Scrivici dal form di contatto

Tel +39 06 87811067
Fax +39 06 99335373

Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove Siamo
Roma: Piazza Don Sturzo 15
Padova: Via Savonarola 217
Milano: Viale Monza 345
Torino: Via Nizza 262

Nome*

E-mail*

Telefono ( per un rapido contatto)

Come possiamo aiutarti?

Altro che vuoi dirci?

Inviando la tua richiesta accetti le condizioni sulla privacy. Useremo i tuoi dati per rispondere alle tue domande e richieste.

TOP