Scoperte (e corrette) due gravi vulnerabilità in OpenSSL
Sono state scoperte e già corrette due gravi vulnerabilità in OpenSSL, libreria crittografica utilizzata ampiamente per gestire le connessioni SSL e TLS. Le falle permettevano di creare attacchi denial of service e di compromissione dei certificati
di Riccardo Robecchi pubblicata il 31 Marzo 2021, alle 11:21 nel canale SecurityLinux
Due vulnerabilità gravi sono state scoperte in OpenSSL, libreria software utilizzata per gestire la cifratura delle connessioni con i protocolli SSL e TLS . Il progetto che si occupa dello sviluppo ha rilasciato una nuova versione che elimina il problema, OpenSSL 1.1.1k.
Due vulnerabilità gravi in OpenSSL aprono ad attacchi denial of service
La prima vulnerabilità, individuata con il numero CVE-2021-3449, permette di mandare in crash un server OpenSSL con un messaggio appositamente creato e, dunque, di portare avanti quello che è a tutti gli effetti un attacco di tipo denial of service. La vulnerabilità è presente solo quando sono attivi sia TLS 1.2 che la rinegoziazione ma, dato che tale impostazione è comunemente usata come predefinita, si tratta di un problema significativo.
La seconda vulnerabilità è invece individuata dal numero CVE-2021-3449 e nasce da controlli aggiuntivi svolti dalla libreria quando impostata affinché vengano rifiutati certificati non provenienti da una Certification Authorityun difetto nel codice fa sì che l'abilitazione di questa modalità più restrittiva disabilitasse in realtà tale controllo. Era possibile sfruttare la falla solo in condizioni particolari, quando non veniva impostato uno scopo per il controllo del certificato o veniva modificato quello predefinito.
Tutte le versioni precedenti alla 1.1.1k sono affette dalle vulnerabilità. Tutte le principali distribuzioni Linux hanno provveduto a rilasciare versioni aggiornate. Vista la gravità, è consigliabile applicare quanto prima gli aggiornamenti. Ulteriori dettagli tecnici sono disponibili nell'avviso di sicurezza pubblicato da OpenSSL.
Acer Nitro V 15, alla prova il notebook gaming essenziale con RTX 4050 Laptop
Stellar Blade: l'action RPG di Shift Up sfoggia uno stile (quasi) unico su PS5 - Recensione
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
L'ammasso globulare NGC 6440 in una nuova immagine del telescopio spaziale James Webb
La sonda spaziale NASA ACS3 con vela solare ha comunicato con la Terra correttamente
Esopianeta WASP-43 b: nuovi dettagli grazie al telescopio spaziale James Webb
Thermaltake Astria 600 RGB: un'esplosione di colori per il nuovo dissipatore ad aria
Questo Hard Disk esterno Seagate da 14 TB ha un prezzo da record: meno di 18 euro per terabyte
Prezzi shock Amazon: TV QLED, AiPods a 99€, friggitrice ad aria a 39€, teste termostatiche, iPhone e molto altro!
Verizon Data Breach Investigation Report 2024: il ransomware domina, ma cresce lo sfruttamento delle vulnerabilità
NIU ora ha una filiale italiana: ecco moto elettriche e scooter, prezzi e specifiche
Dal 2 maggio EXPOSED Torino Foto Festival con il supporto Nikon
Lo spin-off multiplayer di Control è alle fasi finali di produzione: tutti gli aggiornamenti da Remedy
BLUETTI AC180: power station portatile 1.800W/1.152Wh in offerta su Amazon a 799€ (prima costava 1.099€)
In questo video Spot balla insieme a un suo simile che assomiglia a un vero cane. Ecco Sparkles
World of Warships: Legends si espande con incrociatori giapponesi e un viaggio nell'antica Roma
Call of Duty: tutte le novità dell'aggiornamento mid-season per Multiplayer, Warzone e Zombi
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".