Il bug Heartbleed che ha colpito OpenSSL permetterebbe di invalidare le password utilizzare per criptare il traffico dati per il protocollo https
C’è grande apprensione nel mondo del web. CloudFlare, società di Content Delivery Network, ha scoperto una falla nella libreria OpenSSL, software open source utilizzato per proteggere le connessioni SSL/TLS su protocollo https. Il baco, chiamato Heartbleed, è in funzione da marzo 2012 e ha teoricamente invalidato le password utilizzare per cifrare il traffico Internet. La notizia è stata confermata dalla stesso OpenSSL Project.
Il cuore di OpenSSL sanguina
Gli esperti ritengono che il bug possa permettere agli hacker di appropriarsi di 64 Kilobyte di memoria dai server rendendo pressoché inutili le password utilizzate per mettere in sicurezza i dati. Inoltre, i pirati potrebbero aver agito senza aver lasciato tracce digitali del proprio passaggio. Se si considera che OpenSSL è utilizzato per proteggere due terzi dei server nel mondo si capisce l’entità del problema.
Le versioni colpite dalla criticità sono: 1.0.1,1.0.2-beta, 1.0.1f e 1.0.2-beta1. Le esperti quindi consigliano di aggiornare la propria libreria all’update 1.0.1g. Per quanto riguarda l’ultima versione di OpenSSL bisognerà invece attendere la release 1.0.2-beta2.
