Decine di distribuzioni Linux, tra cui le più famose (Ubuntu, Red Hat e Debian), potrebbero consentire agli aggressori l’intercettazione di informazioni personali e di dati sen sensibili. È questa la conclusione di un’indagine recentemente condotta dai tecnici di Red Hat che ha messo in luce alcuni errori nella libreria GnuTLS, implementazione libera dei protocolli SSL/TLS.
Sfruttando le lacune di sicurezza appena venute a galla, un aggressore può riuscire ad intercettare le altrui informazioni facendo venire meno gli obiettivi di autenticazione, integrità dei dati e cifratura che si prefiggono i protocolli crittografici end-to-end come SSL e TLS.
Un malintenzionato potrebbe ad esempio creare un falso certificato digitale (vedere Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti) facendolo passare come assolutamente legittimo “agli occhi” della libreria GnuTLS. Allo stesso modo, l’aggressore può bypassare la protezione offerta dai protocolli SSL/TLS su tutti quei server che dipendono dalla libreria GnuTLS.
Le prime stime indicano che più di 200 prodotti software, tra sistemi operativi ed applicazioni, farebbero uso della libreria GnuTLS; non sorprenderebbe, però, se tale numero dovesse crescere. Applicazioni web, software per la gestione della posta elettronica ed altri prodotti ampiamente utilizzati sono quindi oggi vulnerabili ad attacchi che consentono agli aggressori di monitorare le comunicazioni e di decodificare, in modo silente, il traffico cifrato che transita fra client e server.
Gli sviluppatori di GnuTLS hanno confermato l’esistenza del problema invitando produttori software ed utenti ad aggiornarsi immediatamente alla versione 3.2.12.