OpenSSL – Trovata grave vulnerabilità DoS, disponibile la Patch
Segnalato ad OpenSSL un bug nella funzione BN_mod_sqrt() in grado di causare un loop infinito di DoS durante l’analisi dei certificati (CVE-2022-0778) che contengono chiavi pubbliche a curva ellittica in forma compressa o curva ellittica esplicita.
OpenSSL fornisce una lista di situazioni in cui la vulnerabilità potrebbe essere sfruttata da:
- I client TLS per richiedere certificati server
- I server TLS per richiedere certificati client
- Gli hosting provider per prendere i certificati o le chiavi private dei clienti
- Le autorità di certificazione per analizzare le richieste dei certificati degli iscritti
- in tutti i casi in cui si analizzano i parametri della curva ellittica ASN.1.
Il problema di sicurezza è stato scoperto da Tavis Ormandy, ricercatore di vulnerabilità per Google, ed interessa le versioni di OpenSSL 1.0.2, 1.1.1 e 3.0.
This was a fun one to work on, @davidben__ helped track it down to a bug in the Tonelli-Shanks implementation in OpenSSL. https://t.co/AYvpBLwNvJ
— Tavis Ormandy (@taviso) March 15, 2022
OpenSSL, software open source composto da un insieme di librerie dei protocolli SSL (Secure Socket Layer ) e TLS (Transport Layer Security) per la certificazione e la comunicazione cifrata, è corsa subito ai ripari rilasciando le patch per le versioni:
- 1.0.2, versioni precedenti alla 1.0.2zd
- 1.1.1, versioni precedenti alla 1.1.1n
- 3.0, versioni precedenti alla 3.0.2
Mentre per la versione 1.1.0 non rilascerà alcun workaround e/o patch poichè non sarà più supportata.
A risolvere il problema di sicurezza ci hanno pensato gli esperti David Benjamin di Google e Tomáš Mráz di OpenSSL. E’ necessario pertanto aggiornare il sistema grazie alle patch di sicurezza rilasciate da OpenSSL.
A cura della Redazione
