L’implementazione open source dei protocolli SSL e TLS chiamata OpenSSL è utilizzata in migliaia di progetti software sia sui sistemi Unix-like che in macOS e Windows.
Lo stesso modulo mod_ssl
utilizzato dal web server Apache HTTP Server offre un’interfaccia per la libreria OpenSSL in modo da gestire, ad esempio, le connessioni HTTPS con le pagine richieste dai client.
Molti dei nostri lettori si ricorderanno certamente della vulnerabilità scoperta anni fa in OpenSSL chiamata Heartbleed.
Heartbleed era una lacuna di sicurezza che ha sorpreso molte organizzazioni e correggere il problema è stato tutt’altro che banale. La portata di un problema come Heartbleed ha indotto gli sviluppatori di OpenSSL e di altri progetti open source a ripensare le modalità con cui vengono affrontate le problematiche di sicurezza e come avvengono le comunicazioni con gli utenti.
Già la scorsa settimana, quindi, i responsabili del progetto OpenSSL avevano preannunciato la pubblicazione delle correzioni per due vulnerabilità critiche.
I due bug di sicurezza, conosciuti con gli appellativi CVE-2022-3602 e CVE-2022-3786, interessano OpenSSL 3.0.0 e sono stati corretti con il rilascio della release 3.0.7.
In assenza delle patch, il primo problema potrebbe essere sfruttato per causare un errore di buffer overflow che può provocare il crash dell’applicazione o l’esecuzione di codice arbitrario in modalità remota (RCE, Remote Code Execution).
Si tratta dei bug di sicurezza più pericolosi in assoluto secondo chi si occupa di cybersecurity.
Il secondo problema può essere invece sfruttato inviando email dal contenuto malevolo al fine di causare un Denial of Service.
In una nota sul blog di OpenSSL si spiega che i problemi di sicurezza sono “seri” e tutti gli interessati vengono invitati ad aggiornare prima possibile i rispettivi sistemi. Le versioni di OpenSSL antecedenti alla release 3.0.0 non risultano vulnerabili (OpenSSL 1.1.1x sarà supportato fino a settembre 2023).
Per verificare la versione di OpenSSL in uso si può digitare quanto segue nella finestra del terminale:
“Non siamo a conoscenza di alcun exploit funzionante che potrebbe portare all’esecuzione di codice in modalità remota e non abbiamo alcuna evidenza che i problemi adesso corretti siano già sfruttati per condurre attacchi“, si legge nel post sul sito di OpenSSL.