La patch per scongiurare vulnerabilità di sicurezza di OpenSSL

Recentemente sono state scoperte due vulnerabilità critiche che riguardano OpenSSL, implementazione open source dei protocolli TLS e SSL, utilizzata in tantissimi progetti software,  sia sui sistemi Unix-like che in Windows e macOS. OpenSSL è corsa subito ai ripari rilasciando lo scorso 2 novembre la versione 3.0.7, aggiornamento che corregge queste vulnerabilità e che deve essere effettuato il prima possibile. 

Non è la prima volta che vengono scoperte falle in OpenSSL. Molti si ricorderanno, infatti, di Heartbleed, vulnerabilità di tipo buffer over-read che esisteva specificamente nell’implementazione TLS di heartbeat.  

OpenSSL ha rilasciato una nuova versione una volta scoperte due vulnerabilità critiche CVE-2022-3602 e CVE-2022-3786, che interessano le versioni da 3.0.0 a 3.0.6 di OpenSSL, causando un denial of service. 

Secondo OpenSSL, infatti, può verificarsi un sovraccarico del buffer causato dalla verifica del certificato X.509. Un soggetto malintenzionato sfruttando CVE-2022-3786 può creare un indirizzo e-mail dannoso per sovraccaricare byte attacker-controlled nello stack. Un tale  overflow del buffer può causare un arresto anomalo o l’esecuzione di codice da remoto, permettendo agli hacker di prendere il controllo del sistema attaccato. 

In un client Transport Layer Security, ciò può verificarsi se ci si connette a un server dannoso. In un server TLS, invece, questo può verificarsi se il server richiede l’autenticazione del client e un client dannoso si connette.

Assicurati che le parti interessate della tua azienda siano a conoscenza di queste vulnerabilità, delle possibili conseguenze per la sicurezza e dell’aggiornamento ad hoc rilasciato da OpenSSL.  

Inoltre è importante verificare quale versione si sta utilizzando. Infatti, se stai usando la 3.0.6 o le versioni precedenti dovrai patcharle immediatamente. Al contrario, se stai utilizzando la versione 1.1.1, queste vulnerabilità non ti riguardano, ma è in arrivo anche un aggiornamento 1.1.1s che dovrai comunque eseguire.  

È di fondamentale importanza essere tempestivi. Più a lungo si rimanda l’aggiornamento alla nuova versione, più il tuo sistema è vulnerabile agli attacchi di soggetti malintenzionati. Per una capire come effettuare l’aggiornamento di OpenSSL, ti consigliamo di leggere l’apposita guida OpenSSL.org/source.

Come sempre, continueremo a tenervi aggiornati man mano che la situazione si evolve e vi diremo attraverso il nostro blog se sono necessarie ulteriori azioni. Top SSL mette a disposizione delle imprese i suoi servizi e prodotti digitali innovativi per ridurre i rischi e controllare i costi relativi alla gestione dei certificati SSL. Non esitare a contattarci! 

Top SSL, rivenditore ufficiale GlobalSign, offre tutti gli strumenti e i prodotti SSL per le imprese e i privati che vogliono garantire la sicurezza dei propri utenti, rispondere alle minacce e gestire in maniera efficiente e semplice i certificati digitali. Semplifica e proteggi il tuo flusso di lavoro, cosa stai aspettando? Inizia oggi stesso, contattaci!