OpenSSL – Trovata grave vulnerabilità DoS, disponibile la Patch

Segnalato ad OpenSSL un bug nella funzione BN_mod_sqrt() in grado di causare un loop infinito di DoS durante l’analisi dei certificati (CVE-2022-0778) che contengono chiavi pubbliche a curva ellittica in forma compressa o curva ellittica esplicita.

OpenSSL fornisce una lista di situazioni in cui la vulnerabilità potrebbe essere sfruttata da:

• I client TLS per richiedere certificati server
• I server TLS per richiedere certificati client
• Gli hosting provider per prendere i certificati o le chiavi private dei clienti
• Le autorità di certificazione per analizzare le richieste dei certificati degli iscritti
• in tutti i casi in cui si analizzano i parametri della curva ellittica ASN.1.

Il problema di sicurezza è stato scoperto da Tavis Ormandy, ricercatore di vulnerabilità per Google, ed interessa le versioni di OpenSSL 1.0.2, 1.1.1 e 3.0.

OpenSSL, software open source composto da un insieme di librerie dei protocolli SSL (Secure Socket Layer ) e TLS (Transport Layer Security) per la certificazione e la comunicazione cifrata, è corsa subito ai ripari rilasciando le patch per le versioni:

• 1.0.2, versioni precedenti alla 1.0.2zd
• 1.1.1, versioni precedenti alla 1.1.1n
• 3.0, versioni precedenti alla 3.0.2

Mentre per la versione 1.1.0 non rilascerà alcun workaround e/o patch poichè non sarà più supportata.

A risolvere il problema di sicurezza ci hanno pensato gli esperti David Benjamin di Google e Tomáš Mráz di OpenSSL. E’ necessario pertanto aggiornare il sistema grazie alle patch di sicurezza rilasciate da OpenSSL.

A cura della Redazione