Transcript Scarica il bollettino PDF
Computer Emergency Response Team
BOLLETTINO IT-CERT.160927.B02 Vulnerabilità critica in OpenSSL (CVE-2016-6309)
Doc.: IT-CERT.160927.B02 ver. 1.0 del 27/09/2016 Pagina 1 di 3
DESCRIZIONE
OpenSSL
è un’implementazione
open source
del protocollo SSL/TLS utilizzata in svariati prodotti software
open source
, tra cui, ad esempio, Apache, Postfix e Nginx. La libreria OpenSSL si trova comunemente installata sui sistemi Linux e UNIX. È stata scoperta una vulnerabilità critica (CVE-2016-6309) in OpenSSL che può consentire l’esecuzione di codice da remoto. La vulnerabilità è legata ad una condizione che si verifica quando viene ricevuto un messaggio più grande di circa 16 KB e il buffer in cui memorizzare il messaggio viene riallocato e spostato, lasciando un puntatore pendente alla vecchia locazione di memoria. Tentativi di scrittura nell’area di memoria deallocata provocano normalmente il
crash
dell’applicazione ma possono essere potenzialmente sfruttati per eseguire codice arbitrario. Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Sono disponibili aggiornamenti che risolvono questa vulnerabilità in OpenSSL (per maggiori informazioni si
SOLUZIONE
Gli utenti di OpenSSL 1.1.0 devono aggiornare alla versione 1.1.0b.
SISTEMI
OpenSSL 1.1.0a.
LINK UTILI OpenSSL Downloads
https://www.openssl.org/source/
OpenSSL Security Advisory [26 Sep 2016]
https://www.openssl.org/news/secadv/20160926.txt
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6309 Doc.: IT-CERT.160927.B02 ver. 1.0 del 27/09/2016 Pagina 2 di 3
VALUTAZIONE CVSS
Relativamente alla valutazione della
severity
come metrica di base - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i parametri che concorrono al calcolo della
Base Score
secondo lo standard CVSS v.2 (
Common Vulnerabilities Scoring System
), avvalendosi del
tool
messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm). Nello specifico, sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i seguenti punteggi su una scala da 0 a 10.
CVSS Base Score
9,3
Impact Subscore
10,0
Exploitability Subscore
8,6
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi. In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Doc.: IT-CERT.160927.B02 ver. 1.0 del 27/09/2016 Pagina 3 di 3