OpenSSL: scoperte e corrette due vulnerabilità critiche. Quali sono

La libreria utilizzata per gestire connessioni SSL e TLS soffre, nella sua implementazione più recente, di due gravi problemi di sicurezza. Vediamo di cosa si tratta.
Michele Nasi
Pubblicato il 2 nov 2022
OpenSSL: scoperte e corrette due vulnerabilità critiche. Quali sono

L’implementazione open source dei protocolli SSL e TLS chiamata OpenSSL è utilizzata in migliaia di progetti software sia sui sistemi Unix-like che in macOS e Windows.
Lo stesso modulo mod_ssl utilizzato dal web server Apache HTTP Server offre un’interfaccia per la libreria OpenSSL in modo da gestire, ad esempio, le connessioni HTTPS con le pagine richieste dai client.

Molti dei nostri lettori si ricorderanno certamente della vulnerabilità scoperta anni fa in OpenSSL chiamata Heartbleed.
Heartbleed era una lacuna di sicurezza che ha sorpreso molte organizzazioni e correggere il problema è stato tutt’altro che banale. La portata di un problema come Heartbleed ha indotto gli sviluppatori di OpenSSL e di altri progetti open source a ripensare le modalità con cui vengono affrontate le problematiche di sicurezza e come avvengono le comunicazioni con gli utenti.

Già la scorsa settimana, quindi, i responsabili del progetto OpenSSL avevano preannunciato la pubblicazione delle correzioni per due vulnerabilità critiche.

I due bug di sicurezza, conosciuti con gli appellativi CVE-2022-3602 e CVE-2022-3786, interessano OpenSSL 3.0.0 e sono stati corretti con il rilascio della release 3.0.7.
In assenza delle patch, il primo problema potrebbe essere sfruttato per causare un errore di buffer overflow che può provocare il crash dell’applicazione o l’esecuzione di codice arbitrario in modalità remota (RCE, Remote Code Execution).
Si tratta dei bug di sicurezza più pericolosi in assoluto secondo chi si occupa di cybersecurity.
Il secondo problema può essere invece sfruttato inviando email dal contenuto malevolo al fine di causare un Denial of Service.

In una nota sul blog di OpenSSL si spiega che i problemi di sicurezza sono “seri” e tutti gli interessati vengono invitati ad aggiornare prima possibile i rispettivi sistemi. Le versioni di OpenSSL antecedenti alla release 3.0.0 non risultano vulnerabili (OpenSSL 1.1.1x sarà supportato fino a settembre 2023).
Per verificare la versione di OpenSSL in uso si può digitare quanto segue nella finestra del terminale:

openssl version

Non siamo a conoscenza di alcun exploit funzionante che potrebbe portare all’esecuzione di codice in modalità remota e non abbiamo alcuna evidenza che i problemi adesso corretti siano già sfruttati per condurre attacchi“, si legge nel post sul sito di OpenSSL.

Ti consigliamo anche

Discord blocca Spy.pet, servizio che raccoglie i dati di milioni di utenti
Vulnerabilità

Discord blocca Spy.pet, servizio che raccoglie i dati di milioni di utenti
Allerta Brokewell, il malware che si finge un aggiornamento di Chrome
Vulnerabilità

Allerta Brokewell, il malware che si finge un aggiornamento di Chrome
Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware
Vulnerabilità

Hacker sfruttano bug nel sistema di stampa Windows per diffondere malware
La più grande minaccia informatica del futuro? Ecco perché sarà GPT-4
Vulnerabilità

La più grande minaccia informatica del futuro? Ecco perché sarà GPT-4
Link copiato negli appunti