Nuovi bug in OpenSSL

Nemmeno due mesi dopo HeartBleed sono stati scoperti ben sei nuovi bug in OpenSSL, due di questi sono molto importanti per la nostra sicurezza.

Il primo (CVE-2014-0195) viene descritto cosí:

A buffer overrun attack can be triggered by sending invalid DTLS fragments to an OpenSSL DTLS client or server. This is potentially exploitable to run arbitrary code on a vulnerable client or server.

In pratica si tratta di un attacco che pemette di eseguire del codice malevolo su client o server, inviando un pacchetto DTLS. Questo puó portare un problema di sicurezza su connessioni UDP, quindi parliamo di VPN o software di VoIP. Si tratta di una funzionalitá relativamente recente, quindi con poche applicazioni reali.

Il secondo bug (CVE-2014-0224) é di tipo man in the middle.

La cosa buona di questo bug é che sia il client che il server devono utilizzare una versione buggata di OpenSSL, e la maggior parte dei browser piú utilizzati (Firefox, Chrome and Internet Explorer) non si appoggiano ad OpenSSL, ma hanno una propria implementazione di SSL.

Essendo un attacco man-in-the-middle siamo molto piú vulnerabili quando siamo su una rete non protetta. Un altro motivo per non usare con leggerezza le reti pubbliche non sicure!

Aggiornate i vostri sistemi!

Sia che gestiate un server, sia che utilizziate un client vi consiglio di aggiornare il vostro sistema.

yum update -y openssl

Latest OpenSSL flaws can lead to information leakage, code execution and DoS