Come capire se OpenSSL è vulnerabile a CVE-2014-0160 aka Heartbleed

Capire se OpenSSL è vulnerabile a CVE-2014-0160 Heartbleed

Le versioni affette dal bug

Network

Approfondimenti

Come riesco quindi a comprendere se il mio sistema è vulnerabile?

Questa domanda è sicuramente molto ma molto importante. Cominciamo quindi con il porre dei limiti: le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 fino alla 1.0.1f inclusa, tutte le altre versioni non risultano essere compromesse. Il problema risiede nel fatto che le versioni contenenti il bug sono quelle rilasciate negli ultimi due anni.

Il protocollo di cifratura è sicuro

Chiariamo a questo punto un concetto di base, questo bug è un errore di implementazione, non un buco nel protocollo di cifratura, quindi solo i programmi che usano le librerie di OpenSSL ed implementano il protocollo SSL ne risultano affette, se invece vengono utilizzate per altri motivi, questi non sono affetti da bug.

Il rischio proveniente da tale vulnerabilità di implementazione, viene mitigato con l’ultimo update del software OpenSSL 1.0.1 g rilasciato in data 7 aprile 14′.

Ma mentre la risoluzione lato server è mitigata in questo modo ben più complessa è la situazione per quanto riguarda differenti dispositivi di rete anch’essi affetti da tale vulnerabilità, ossia gli utenti, i mobile device e anche dispositivi di rete quali i router.

Analizzeremo questi aspetti nella prossima parte dell’articolo.

Cosa Facciamo

Casi di Successo

Uno dei leader mondiali di gestione di impianti industriali usa le nostre soluzioni System Integration e Web Application per dashboard, widget e automazione.

Inizia ora il tuo progetto