OpenSSL: aggiornate subito all'ultima versione, risolte due pericolose vulnerabilità

OpenSSL è stato aggiornato recentemente alla versione 1.1.1k, la quale risolve due gravi bug.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Come riportato da The Register, OpenSSL, usato in modo massiccio a livello mondiale per implementare i protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL), è stato recentemente aggiornato alla versione 1.1.1k e per l'occasione sono state diffuse ulteriori informazioni relative a due pericolose vulnerabilità corrette in questa release.

La prima, indicata con la sigla CVE-2021-3450, è emersa in seguito al codice implementato nella versione 1.1.1h per eseguire un controllo di validità sui certificati utilizzando certi parametri crittografici per garantire che quelli non creati dalle autorità di certificazione (CA) fossero in grado di emettere altri certificati. A quanto pare le cose non sono andate come previsto, tanto che attivando la convalida dei certificati si andava ad ottenere il risultato opposto, andando a disattivare il controllo che impediva ai certificati non CA di emettere altri certificati.

Il problema è stato segnalato il 18 marzo 2021 da Benjamin Kaduk di Akamai dopo essere stata identificata dall'ingegnere del software Xiang Ding, mentre la patch risolutiva è stata realizzata da Tomáš Mráz, il principale ingegnere software di Red Hat. Stando alla nota di OpenSSL, «per essere influenzata, un'applicazione deve impostare esplicitamente il flag di verifica X509_V_FLAG_X509_STRICT e non impostare uno scopo per la verifica del certificato o, nel caso di applicazioni client o server TLS, sostituire lo scopo predefinito».

La seconda, indicata con la sigla CVE-2021-3449, poteva consentire di bloccare un server OpenSSL con un messaggio di rinegoziazione ClientHello modificato. In questo caso, i sistemi vulnerabili erano quelli con TLSv1.2 e la rinegoziazione abilitata. Entrando più nel dettaglio, come spiegato nell'avviso di OpenSSL, «se un ClientHello di rinegoziazione TLSv1.2 omette l'estensione signature_algorithms (presente nel ClientHello iniziale), ma include un estensione signature_algorithms_cert, si verificherà una deferenziazione a puntatore nullo che porterà ad un arresto anomalo e a un attacco denial of service».

Gli utenti sono invitati ad aggiornare il OpenSSL alla versione 1.1.1k il prima possibile. Attualmente Ubuntu e Debian hanno già pubblicato una patch e presto dovrebbero seguire anche altre distribuzioni e sistemi operativi.

ASRock B450M Steel Legend è una scheda madre con socket AM4 pronta ad ospitare i nuovi processori di AMD, la trovate su Amazon a meno di 85 euro!
Leggi altri articoli