[Gfoss] ALLARME ROSSO sicurezza !!!!

a.furieri a lqt.it a.furieri a lqt.it
Mer 9 Apr 2014 13:13:37 CEST


On Tue, 08 Apr 2014 22:54:08 +0200, a.furieri a lqt.it wrote:
> oggi e' stato annunciato pubblicamente che tutte le versioni
> di OpenSSL rilasciate negli ultimi due anni (cioe' tutte quelle
> comprese tra la 1.0.1 e la 1.0.1f) sono affette da un bug
> assulutamente crtico noto come HEARTBLEED
>

qualche interessante sviluppo:

esiste un sito WEB completamente dedicato ad HeartBleed, che
spiega esaustivamente tutti i dettagli tecnici del bug e che
contiene delle FAQ sicuramente utili per tutti, specie per
i sysadmin ma anche gli utenti "normali":

http://heartbleed.com/

-----------

la Free Software Foundation (FSF) ha rilasciato un proprio
comunicato stampa a commento di quello che certamente e'
l'incidente piu' grave e dalle conseguenze potenzialmente
devastanti mai occorso in tutta l'intera storia del software
libero ed open source:

https://www.fsf.org/news/free-software-foundation-statement-on-heartbleed-vulnerability

come viene correttamente evidenziato nel comunicato, il sw libero
e' vulnerabile e fragile esattamente tanto quanto il sw proprietario.
l'apertura dei sorgenti e la costante peer review del codice da parte
di una vasta community evidentemente non e' sufficiente di per se
stessa per assicurare una sicurezza assoluta.

il fatto che OpenSSL sia open source ha comunque consentito di
agire con estrema tempestivita' non appena alcuni ricercatori
di Google hanno segnalato la criticita' HeartBleed, ed ha consentito
di gestire l'intera crisi in modo aperto e trasparente.
infine e' sicuramente degno di nota il fatto che tutte le varie
communities Linux si sono poi prodigate all'estremo per riuscire
a distribuire tutte le patch di sicurezza necessarie nel giro di
sole 24 ore.

------------

ATTENZIONE: HeartBleed e' rimasto inconsapevolmente attivo
su moltissimi WEB server per almeno uno/due anni.
aggiornare immediatamente OpenSSL alla 1.0.1g e' strettamente
indispensabile ma non e' affatto sufficiente.

la sicurezza dei certificati di autenticazione dei server,
delle chiavi private e dei certificati X.509 e' stata
potenzialmente compromessa, e non esiste nessun meccanismo
che consenta di verifica se questo e' realmente accaduto
oppure no.
conclusione: prudenza suggerisce di agire presumendo che
tutte le chiavi crittografiche, i certificati e le password
pre-HeartBleed siano ora definitivamente compromessi.

e di conseguenza pare decisamente saggio:
- revocare tutti i certicati server ed X.509 gia' in uso
- cambiare tutte le chiave crittografiche private
- sostituire tutte le password di accesso

http://security.stackexchange.com/questions/55075/does-heartbleed-mean-new-certificates-for-every-ssl-server

giusto per finire, almeno una notizia confortante:
le chiavi SSH non sembrano a rischio :-D

http://security.stackexchange.com/questions/55076/what-should-a-website-operator-do-about-the-heartbleed-openssl-exploit

ciao Sandro





Maggiori informazioni sulla lista Gfoss