oggi e' stato annunciato pubblicamente che tutte le versioni
di OpenSSL rilasciate negli ultimi due anni (cioe' tutte quelle
comprese tra la 1.0.1 e la 1.0.1f) sono affette da un bug
assulutamente crtico noto come HEARTBLEED
questo bug e' dannatamente pericoloso ed ha una serie assolutamente
nefasta di conseguenze:
- tutte le connessioni cifrate HTTPS non sono affatto sicure, e
possono purtroppo essere intercettate
- non solo: anche la sicurezza delle chiavi private e dei certificati
X.509 potrebbe essere stata seriamente compromessa.
- ultima notizia negativa: una eventuale incursione ostile tramite la
vulnerabilita' HeartBleed non lascia nessuna traccia nei log di Apache;
e quindi non e' neppure possibile sapere quali siano i server che
debbano ritenersi in condizioni di sicurezza compromessa.
visto che OpenSSL e' alla base di Apache, gli esperti ritengono che
circa il 60% dei server Internet siano potenzialmente affetti dal
problema HeartBleed.
rimedi: il team di OpenSSL ha gia' rilasciato proprio oggi una nuova
versione 1.0.1g che e' immune da HeartBleed.
E' ASSOLUTAMENTE CONSIGLIATO AGGIORNARE TEMPESTIVAMENTE NON APPENA
VERRANNO DISTRIBUITI i PACCHETTI PER LE VARIE PIATTAFORME.
ovviamente i rischi maggiori sono per i servizi di HomeBanking e/o
in cui comunque giri denaro.
ma e' comunque opportuno che tutti coloro che hanno la responsabilita'
di amministrare un WEB server sui cui sono memorizzati contenuti
riservati e/o soggetti a particolari cautele siano ben consapevoli
del problema HearthBleed e di tutti i rischi che questo implica.
ciao Sandro
[1] http://www.downloadblog.it/post/106467/openssl-scoperta-una-grave-vulnerabilita
[2] http://techcrunch.com/2014/04/07/massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/
