Aggiornamento importante sulla sicurezza di OpenSSL: CVE-2014-0160 (Heartbleed)
È stato rilevato un difetto sulla diffusione delle informazioni nel modo in cui OpenSSL gestisce i pacchetti per l'estensione di Heartbeat, datagram transport layer security (DTLS) e il transport layer security (TLS). Ciò viene comunemente identificato come Heartbleed bug.
Un server o client DTLS o TLS maliziosi sono in grado di inviare un pacchetto Heartbeat DTLS o TLS modificato in modo specifico, rendendo così disponibile una sezione limitata di memoria per richiesta, di un server o client colleggato. Da notare che tale sezione può includere informazioni sensibili, come ad esempio le chiavi private. (CVE-2014-0160)
Questo problema non interessa le versioni di openssl disponibili con Red Hat Enterprise Linux 5 e Red Hat Enterprise Linux 6.4 e versioni precedenti, ma interessa Red Hat Enterprise Linux 7 beta, Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 e Red Hat Storage 2.1 con openssl 1.0.1e.
- Per maggiori informazioni a riguardo relativi a Red Hat Enterprise Linux consultare https://access.redhat.com/site/solutions/781793.
- Per maggiori informazioni su questo argomento relativi a Red Hat Enterprise Virtualization Hypervisor consultare https://access.redhat.com/site/solutions/781843.
- Per maggiori informazioni a riguardo relativi a Red Hat Storage consultare https://access.redhat.com/site/solutions/782053.
Dopo aver aggiornato i sistemi sarà possibile usare Red Hat's Heartbleed Detector per convalidare e rendere sicuri i sistemi stessi. Red Hat consiglia fortemente di sostituire le chiavi SSL sui sistemi esposti a questo tipo di vulnerabilità, in quanto ulteriori riporti provenienti dalla comunità di ricerca per la sicurezza, hanno accertato la possibilità che le chiavi possano essere rubate dai sistemi interessati. Per maggiori informazioni consultare Ripristino da Heartbleed.
Sequenza cronologica
Consultare la versione inglese di questo avviso per una sequenza cronologica.
Dichiarazione sulla Vulnerabilità nel sito web di Red Hat
Il 7 di Aprile 2014 l'OpenSSL Project ha reso disponibile un aggiornamento per risolvere il problema relativo alla vulnerabilità identificato da CVE-2014-0160 (conosciuto anche come "Heartbleed").
La sicurezza per Red Hat è un argomento molto serio. I seguenti siti web di Red Hat, i quali trasmettono dati riguardanti gli utenti, non utilizzano una libreria OpenSSL vulnerabile per le comunicazioni SSL/TLS, e non sono interessati da questo tipo di vulnerabilità "Heartbleed":
- www.redhat.com
- access.redhat.com (Portale Clienti di Red Hat)
- rhn.redhat.com (Red Hat Network)
