This post is also available in: Inglese

Reading Time: 3 minutes

Heartbleed è un grave bug nella famosa libreria OpenSSL, che potrebbe permettere ad un attaccante (tramite pacchetti forgiati in modo particolare) di leggere porzioni (relativamente piccole) dell’area di memoria di un client vittima (e purtroppo le informazioni in memoria sono potenzialmente tutte in chiaro), compromettendo quindi il vincolo di confidenzialità dei dati.

Il sito Heartbleed.com include dettagli sul problema (oppure vedere anche questo post) che affligge tutte le versioni di OpenSSL dalla 1.0.1 fino alla 1.0.1f.

La soluzione è aggiornare le librerie se avete servizi che ne fanno uso e cambiare le vostre password e/o certificati/chiavi digitali se avete usato servizi affetti da questo bug (esiste una lista con molti dei servizi affetti The Heartbleed Hit List: The Passwords You Need to Change Right Now).

Lato Dell alcuni prodotti e servizi sono affetti, ma tanti altri no; esattamente come fatto da VMware e da altre aziende, è disponibile una pagina dedicata che riepiloga la situazione legata a questo grave problema: Heartbleed Remediation.

Lato server sembra tutto a posto: Dell dichiara le DRAC5, iDRAC6, o iDRAC7 non affette dal problema dato che usano altre versioni di OpenSSL. Allo stesso modo tutti questi prodotti non sono affetti:

  • Dell Open Manage Server Administrator (OMSA) agent
  • Dell Chassis Management Controller (CMC)
  • Dell OpenManage Integration for VMware vCenter
  • Dell Repository Manager
  • Dell OpenManage Essentials (OME)
  • Dell OpenManage Power Center
  • Dell Connectors for CA/IBM/HP
  • Dell Plug-in for Oracle Enterprise Manager

In realtà in questo post è riportata l’esistenza di una patch per OME 1.3 che può essere scaricata direttamente dal sito Dell support.

Più complicato lato Dell Software: alcuni SonicWALL SRA (specifici firmware), Kace 3000, altri software e persino i alcuni prodotti della famiglia Dell Networking sono affetti dal problema.

Controllate il sito Heartbleed Remediation e verificate i vostri prodotti se sono affetti o meno. Cusiosamente non vi sono prodotti della famiglia Dell storage, segno che la lista non è ancora completa (visto che sia EqualLogic che Compellent utilizzano HTTPS), anche se vale la raccomandazione di mantenere le interfacce di gestione degli storage (ma più in generale tutte le interfacce di gestione) in reti separate e protette.

Altrettanto cusiosa la soluzioni per le interfacce ReST API degli switch: disabilitarla completamente in attesa di soluzioni. Cusiosamente questo può avere gravi ripercussioni in un ambiente “Software Defined” e forse questo problema metterà gli aspetti si sicurezza ai primi posti delle obiezioni su questo tipo di soluzioni (in realtà la sicurezza dovrebbe comunque essere tra i primi posti, ma spesso si commette l’errore di non considerla abbastanza).

Share

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-24. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-23. Nutanix NTC 2014-20. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.