This post is also available in: Inglese

Reading Time: 2 minutes

Heartbleed è un grave bug nella famosa libreria OpenSSL, che potrebbe permettere ad un attaccante (tramite pacchetti forgiati in modo particolare) di leggere porzioni (relativamente piccole) dell’area di memoria di un client vittima (e purtroppo le informazioni in memoria sono potenzialmente tutte in chiaro), compromettendo quindi il vincolo di confidenzialità dei dati.

Il sito Heartbleed.com include dettagli sul problema (oppure vedere anche questo post) che affligge tutte le versioni di OpenSSL dalla 1.0.1 fino alla 1.0.1f.

La soluzione è aggiornare le librerie se avete servizi che ne fanno uso e cambiare le vostre password e/o certificati/chiavi digitali se avete usato servizi affetti da questo bug (esiste una lista con molti dei servizi affetti The Heartbleed Hit List: The Passwords You Need to Change Right Now).

Lato Microsoft sembra che nessun servizio o prodotto sia affetto da questo problema (del resto OpenSSL è una libreria usata prevalentemente in software OpenSource e non necessariamente anche in software proprietari).

Questo è il comunicato ufficiale:

“After a thorough investigation, Microsoft determined that Microsoft Account, Microsoft Azure, Office 365, Yammer and Skype, along with most Microsoft Services, are not impacted by the OpenSSL “Heartbleed” vulnerability. Windows’ implementation of SSL/TLS is also not impacted. A few Services continue to be reviewed and updated with further protections.”

Per maggiori informazioni vedere anche il blog OpenSSL Heartbleed vulnerability: risorse utili di Feliciano Intini.

Per quanto riguarda Azure, è possibile vedere il post Heartbleed non colpisce Microsoft Azure oppure (in inglese)  Information on Microsoft Azure and Heartbleed.

Per quanto riguarda pacchetti e driver di terze parti bisogna verificare di volta in volta (vedere ad esempio Microsoft patches Heartbleed in Windows 8.1 VPN client).

Share

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-20 and vExpert Pro. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-19. Nutanix NTC 2014-20. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.