This post is also available in: Inglese

Reading Time: 3 minutes

Heartbleed è un grave bug nella famosa libreria OpenSSL, che potrebbe permettere ad un attaccante (tramite pacchetti forgiati in modo particolare) di leggere porzioni (relativamente piccole) dell’area di memoria di un client vittima (e purtroppo le informazioni in memoria sono potenzialmente tutte in chiaro), compromettendo quindi il vincolo di confidenzialità dei dati.

Il sito Heartbleed.com include dettagli sul problema (oppure vedere anche questo post) che affligge tutte le versioni di OpenSSL dalla 1.0.1 fino alla 1.0.1f.

La soluzione è aggiornare le librerie se avete servizi che ne fanno uso e cambiare le vostre password e/o certificati/chiavi digitali se avete usato servizi affetti da questo bug (esiste una lista con molti dei servizi affetti The Heartbleed Hit List: The Passwords You Need to Change Right Now).

Lato VMware alcuni servizi e prodotti recenti ne sono affetti (tutto quello antecedente al 2012 però è in linea di massima sicuro o almeno non affetto da questo bug).

Esistono vari post e il primo da cui partire è VMware products and the Heartbleed OpenSSL issue, CVE-2014-0160 come pure la VMware Knowledge Base article 2076225 che include il report dei prodotti e servizi affetti perché includevano le versioni bacate del OpenSSL 1.0.1.

Questo è un elenco dei prodotti VMware che sono stati confermati come affetti dal bug:

Riguardo i servizi online e di tipo public cloud di VMware, sicuramente la notizia più importante è che vCloud Hybrid Service is not affected by OpenSSL “Heartbleed bug”. Però Socialcast era stato trovato affetto dal problema:

Questi servizi invece sono confermati immuni al problema:

  • Horizon DaaS
  • VMware vCloud Hybrid Service
  • VMware IT Business Management Suite
  • AirWatch MDM

Post edit

Sabato 19 aprile, VMware ha rilasciato aggiornamenti per la suite vSphere per risolvere questo problema, per maggiori informazioni vedere questo post (in inglese): Heartbleed Security Bug fixes for VMware.

Le nuove build di vCenter 5.5 diventano 1750795 (dalla 1623101 che era la 5.5 U1) e per ESXi 5.5 build 1746018 (dalla 1623387 che l’ultima aggiornata).

Share

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-20 and vExpert Pro. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-19. Nutanix NTC 2014-20. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.