I sistemi operativi open source Linux-based utilizzano in genere una particolare libreria, tale GnuTLS, per la gestione delle connessioni sicure SSL/TLS (in pratica il meccanismo che regola la navigazione web tramite https).
Fin qui tutto bene, finché un advisory RedHat non svela che all’interno della suddetta libreria sia presente una falla – si sospetta da ben dieci anni.
L’advisory parla chiaro: scendendo leggermente sul tecnico, sarebbe possibile bypassare (o quantomeno falsare) la verifica dei certificati di sucrezza X.509, così da portare la libreria a contrassegn
In pratica una cosa del tutto simile (anche se apparentemente non correlata) a quanto successo con Apple qualche settimana fa: un ciclo gestito male.
- il forte utilizzo nella libreria nelle distribuzioni Linux desktop e soprattutto server, con annessi software applicativi (un semplice esempio potrebbe essere apt-get);
- il fatto che tale vulnerabilità giri indisturbata fin dal 2005, nonostante la natura open source di GnuTLS.
Fortunatamente il bug è stato patchato in tempo: basterà aggiornare la libreria GnuTLS all’ultima versione disponibile (la 3.2.12) o, in alternativa, alla versione 3.1.22; per le distribuzioni server più datate, è stata resa disponibile una patch applicabile alla famiglia di librerie GnuTLS 2.12.x.
Per maggiori informazioni, vi rimandiamo alla documentazione disponibile su GnuTLS e all’advisory conseguente diramato da Debian.
Ora a voi la domanda: in quanti avranno scoperto e già sfruttato questa vulnerabilità? Qualche agenzia governativa a caso ne avrà fatto una backdoor?
