Heartbleed + OpenSSL = Cambiare tutte le password ai siti vulnerabili.

Inserito da 24 Aprile, 2014 (0) Commenti

Si tratta di :Exploits,Sicurezza

heartbleed-285x343Alcuni ricercatori hanno scoperto in versioni recenti di  OpenSSL delle vulnerabilità critiche. OpenSSL è una tecnologia che è usata da milioni di sitiweb per criptare le comunicazioni con gli utenti internet. Tale tecnologia sta alla base per garantire la riservatezza dei nostri dati e di ciò che inviamo attraverso diversi siti internet e persino app.

Il problema diventa serio e non è stato risolto del tutto…

soluzione temporanea ma rapida  :
Heartbleed + OpenSSL = Cambiare tutte le password ai siti vulnerabili.

Sono passati circa 10 giorni dal primo allarme e il problema non sembra esser risolto, è un vero problema, infatti sono stati diffusi semplici exploits che consentono a chiunque di  poter rubare username e password dai siti vulnerabili. E’ posssibile rubare anche le chiavi usate dai siti per criptare  e decriptare dati sensibili.

Il bug Heartbleed consente a chiunque su Internet per leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL.Questo compromette le chiavi segrete utilizzate per identificare i fornitori di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo. Ciò consente agli aggressori di intercettare le comunicazioni, e rubare i dati direttamente dai servizi attivi con gli utenti e di impersonare servizi e utenti.

Un advisory emesso da CERT della Carnegie Mellon University rileva che la vulnerabilità è presente in  siti con versioni di OpenSSL dalla 1.0.1 fino a lla 1.0.1f. Secondo Netcraft, società che controlla la tecnologia utilizzata da vari siti web, più di mezzo milione di siti sono attualmente vulnerabili. Persiono Yahoo.com, e ironia della sorte il sito di openssl.org. Ma l’elenco dei siti web vulnerabili è molto vasto sono infetti  i primi 1.000 siti più popolari in base alla società di web ranking Alexa.

Siete curiosi volete sapere se un sito è vulnerabile ?

inserite l’indirizzo dels sito web qui https://filippo.io/Heartbleed/

Categories : Exploits,Sicurezza Tags : , , , , , , ,

Vulnerabilita’ in OpenSSL

Inserito da 14 Gennaio, 2012 (0) Commenti

Si tratta di :Sicurezza

Sono state rilasciate nuove versioni di OpenSSL   che risolvono 6 vulnerabila’ presenti nel software:

DTLS Plaintext Recovery Attack (CVE-2011-4108)
Double-free in Policy Checks (CVE-2011-4109)
Uninitialized SSL 3.0 Padding (CVE-2011-4576)
Malformed RFC 3779 Data Can Cause Assertion Failures (CVE-2011-4577)
SGC Restart DoS Attack (CVE-2011-4619)
Invalid GOST parameters DoS Attack (CVE-2012-0027)

:: Software interessato
OpenSSL versioni precedenti alla 0.9.8s
OpenSSL versioni precedenti alla 1.0.0f

:: Impatto

Denial of Service
Esecuzione remota di codice arbitrario
Rivelazione di informazioni sensibili

:: Soluzioni

Aggiornare OpenSSL
alla versione 0.9.8s o alla versione 1.0.0f
http://openssl.org/source/

Categories : Sicurezza Tags : , , , , , , ,