Computer Emergency Response Team

BOLLETTINO IT-CERT.160927.B02 Vulnerabilità critica in OpenSSL (CVE-2016-6309)

Doc.: IT-CERT.160927.B02 ver. 1.0 del 27/09/2016 Pagina 1 di 3

DESCRIZIONE

OpenSSL

è un’implementazione

open source

del protocollo SSL/TLS utilizzata in svariati prodotti software

open source

, tra cui, ad esempio, Apache, Postfix e Nginx. La libreria OpenSSL si trova comunemente installata sui sistemi Linux e UNIX. È stata scoperta una vulnerabilità critica (CVE-2016-6309) in OpenSSL che può consentire l’esecuzione di codice da remoto. La vulnerabilità è legata ad una condizione che si verifica quando viene ricevuto un messaggio più grande di circa 16 KB e il buffer in cui memorizzare il messaggio viene riallocato e spostato, lasciando un puntatore pendente alla vecchia locazione di memoria. Tentativi di scrittura nell’area di memoria deallocata provocano normalmente il

crash

dell’applicazione ma possono essere potenzialmente sfruttati per eseguire codice arbitrario. Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali. Sono disponibili aggiornamenti che risolvono questa vulnerabilità in OpenSSL (per maggiori informazioni si

veda la sezione LINK UTILI).

SOLUZIONE

Gli utenti di OpenSSL 1.1.0 devono aggiornare alla versione 1.1.0b.

SISTEMI

OpenSSL 1.1.0a.

LINK UTILI OpenSSL Downloads

https://www.openssl.org/source/

OpenSSL Security Advisory [26 Sep 2016]

https://www.openssl.org/news/secadv/20160926.txt

Mitre CVE ID

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6309 Doc.: IT-CERT.160927.B02 ver. 1.0 del 27/09/2016 Pagina 2 di 3

VALUTAZIONE CVSS

Relativamente alla valutazione della

severity

come metrica di base - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i parametri che concorrono al calcolo della

Base Score

secondo lo standard CVSS v.2 (

Common Vulnerabilities Scoring System

), avvalendosi del

tool

messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm). Nello specifico, sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i seguenti punteggi su una scala da 0 a 10.   

CVSS Base Score

9,3

Impact Subscore

10,0

Exploitability Subscore

8,6

NOTE

Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi. In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Doc.: IT-CERT.160927.B02 ver. 1.0 del 27/09/2016 Pagina 3 di 3