[ImoLUG] Fwd: [Erlug] openssl - aggiornare - CVE-2014-0160

fRANz andrea.francesconi@gmail.com
Mer 9 Apr 2014 12:27:55 CEST


2014-04-09 12:00 GMT+02:00 Giovanni [aka CyberPenguin]
<cyberpenguin@inventati.org>:

> Ok :-)
> Quindi, solo per cercare di capire, nessuna correlazione tra il mega-bug
> scoperto e le password che abbiamo inviato (o inviamo) in ssl sui portali
> sopraccitati.
> Il tutto verte sull'update di openssl lato client e (sperando) lato server
> che e' da verificarsi con i link postati.
> In tale contesto risulta ininfluente cambiare tutte le password di login.
> Giusto?

questo link riassume abbastanza bene la situazione:

http://unix.stackexchange.com/questions/123711/how-do-i-recover-from-the-heartbleed-bug-in-openssl

se ospiti servizi e portali su SSL (sei una azienda/ISP/telco/altro)
chiaramente sei interessato e coinvolto in primissima battuta
nell'aggiornare le librerie OpenSSL,
anche lato client la situazione è calda e interessata al problema:

http://security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely

ma la maggior parte dei browser internet non sembrano interessati al
bug, mitigando di fatto l'allarme.

se per cambiare la password di un portale vulnerabile devi collegarti
in https (ovvero il 99% delle volte),
vedi il yahoo di turno rimasto vulnerabile per un tot di tempo,
è rischioso cambiare la password sfruttando lo stesso portale...
attendi che i servizi siano aggiornati per poterti muovere in
tranquillità.

lato client è cosa buona e giusta aggiornare ASAP le librerie OpenSSL
(oppure se sei veramente grintoso passare a librerie che non hanno
sofferto, tipo https://polarssl.org/)

-f


Maggiori informazioni sulla lista ImoLUG