OpenSSL è una delle librerie più diffuse per la crittografia, è usata da tantissimi software, inclusi Apache, OpenSSH, OpenVPN etc…
Recentemente si è scoperto che le release degli ultimi due anni soffrivano di un bug nell’heartbeat, chiamato Heartbleed.
Questo bug, in pratica, permette di ottenere i dati rimasti in memoria, tra i quali anche la chiave privata di un sito, rilasciata normalmente da autorità di certificazione dopo aver controllato documenti su documenti che verifichino l’identità del richiedente.
È un durissimo colpo, il 66% dei siti web era vulnerabile: Google (con tutti i suoi prodotti, inclusi Android 4.1 e 4.1.1), Facebook, Wikipedia e persino Microsoft, sebbene sia software libero, ne erano affetti!12
Lo è sia per tutte le tecnologie che usavano versioni infette della libreria, che, penso, per il progetto OpenSSL in sé.
Molti siti e software importanti hanno già rilasciato le patch, Debian ha addirittura rilasciato la patch il giorno stesso e il giorno dopo una serie di ISO di Wheezy corrette, aggiornando addirittura il numero di versione. … [Leggi il resto]