On Tue, 08 Apr 2014 22:54:08 +0200, a.furi...@lqt.it wrote:
oggi e' stato annunciato pubblicamente che tutte le versioni di OpenSSL rilasciate negli ultimi due anni (cioe' tutte quelle comprese tra la 1.0.1 e la 1.0.1f) sono affette da un bug assulutamente crtico noto come HEARTBLEED
qualche interessante sviluppo: esiste un sito WEB completamente dedicato ad HeartBleed, che spiega esaustivamente tutti i dettagli tecnici del bug e che contiene delle FAQ sicuramente utili per tutti, specie per i sysadmin ma anche gli utenti "normali": http://heartbleed.com/ ----------- la Free Software Foundation (FSF) ha rilasciato un proprio comunicato stampa a commento di quello che certamente e' l'incidente piu' grave e dalle conseguenze potenzialmente devastanti mai occorso in tutta l'intera storia del software libero ed open source: https://www.fsf.org/news/free-software-foundation-statement-on-heartbleed-vulnerability come viene correttamente evidenziato nel comunicato, il sw libero e' vulnerabile e fragile esattamente tanto quanto il sw proprietario. l'apertura dei sorgenti e la costante peer review del codice da parte di una vasta community evidentemente non e' sufficiente di per se stessa per assicurare una sicurezza assoluta. il fatto che OpenSSL sia open source ha comunque consentito di agire con estrema tempestivita' non appena alcuni ricercatori di Google hanno segnalato la criticita' HeartBleed, ed ha consentito di gestire l'intera crisi in modo aperto e trasparente. infine e' sicuramente degno di nota il fatto che tutte le varie communities Linux si sono poi prodigate all'estremo per riuscire a distribuire tutte le patch di sicurezza necessarie nel giro di sole 24 ore. ------------ ATTENZIONE: HeartBleed e' rimasto inconsapevolmente attivo su moltissimi WEB server per almeno uno/due anni. aggiornare immediatamente OpenSSL alla 1.0.1g e' strettamente indispensabile ma non e' affatto sufficiente. la sicurezza dei certificati di autenticazione dei server, delle chiavi private e dei certificati X.509 e' stata potenzialmente compromessa, e non esiste nessun meccanismo che consenta di verifica se questo e' realmente accaduto oppure no. conclusione: prudenza suggerisce di agire presumendo che tutte le chiavi crittografiche, i certificati e le password pre-HeartBleed siano ora definitivamente compromessi. e di conseguenza pare decisamente saggio: - revocare tutti i certicati server ed X.509 gia' in uso - cambiare tutte le chiave crittografiche private - sostituire tutte le password di accesso http://security.stackexchange.com/questions/55075/does-heartbleed-mean-new-certificates-for-every-ssl-server giusto per finire, almeno una notizia confortante: le chiavi SSH non sembrano a rischio :-D http://security.stackexchange.com/questions/55076/what-should-a-website-operator-do-about-the-heartbleed-openssl-exploit ciao Sandro _______________________________________________ Gfoss@lists.gfoss.it http://lists.gfoss.it/cgi-bin/mailman/listinfo/gfoss Questa e' una lista di discussione pubblica aperta a tutti. I messaggi di questa lista non hanno relazione diretta con le posizioni dell'Associazione GFOSS.it. 666 iscritti al 22.7.2013
