Crea sito

In GnuTLS c’è un baco o una backdoor per Linux?

Roma – Dopo il caso della cosiddetta vulnerabilità “gotofail” dei software Apple, una nuova falla individuata in una popolare libreria di sicurezza open source solleva polemiche a alimenta ancora una volta il sospetto che ha monopolizzato la scena della sicurezza informatica nell’era post-Datagate: è un semplice baco o è una backdoor utile per lo spionaggio della NSA?

Svelata da un advisory RedHat, la falla è presente nella libreria GnuTLS e riguarda la gestione incorretta di certi operazioni durante il processo di verifica dei certificati di sicurezza X.509 (alla base dei protocolli TLS e SSL), processi che sotto certe condizioni potrebbe portare all’accettazione di un certificato come valido anche nel caso in cui sarebbe dovuto avvenire il contrario. Le conseguenze della falla sono presto dette: un malintenzionato o una “gang” di cyber-criminali potrebbe auto-firmarsi un certificato fasullo, sfruttando poi il baco per autenticarsi come attore sicuro senza la necessità di ricorrere a una CA (Certificate Authority) valida e compromettendo la sicurezza delle comunicazioni veicolate su protocollo SSL/TLS.

Si tratta in sostanza di un problema molto simile a quello emerso nei giorni scorsi per i software Apple, e le conseguenze in questo caso sono persino più gravi visto l’alto numero di software che si affida a GnuTLS: persino gli aggiornamenti distribuiti tramite apt-getpotrebbero essere vulnerabili. Le ramificazioni di questa scoperta sono molteplici, e occorrerà del tempo per stabilire con esattezza quale sia la portata: in taluni casi altre forme di protezione, come la verifica della cifratura di un pacchetto, potrebbero mitigare il rischio, ma in generale si tratta di una questione di livello critico che andrà sanata al più presto.Il baco sarebbe in circolazione dal 2005, dicono le prime analisi, con tanti saluti alla presunta sicurezza “superiore” del codice open source: l’errore di programmazione è molto simile a quello presente nel codice Apple, solo un po’ meno evidente, ma il risultato è pressoché identico. La patch a ogni modo è già disponibile sia per la distro Linux Red Hat che per GnuTLS.


3 thoughts on “In GnuTLS c’è un baco o una backdoor per Linux?

    fausto fabbri
    on said:

    utilizzo zorin 8 e da ieri aggiornameto softwere mi dice che sono aggiornato con l’8 ma che cè disponibile il 14.04 cosa debbo fare .
    ciao Buona Pasqua

      non puoi aggiornare perchè rispi un errore reversibile, puoi fare soli aggiornamenti classici.
      Per disabilitare le notifiche di avanzamento di versione, basta andare su gestore software di aggiornamenti/aggiornamenti/ e quando si ci ritrova sulla facciata, vi chiede a quali versione di ubuntu volete aggiornare,voi fate nessuna versione.
      Se vuoi aggiornare L’OS alla versione successiva visita il sito inglese per scaricarti l’ultima disponibile se è presente.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi