Bug rinegoziazione SSL: non solo teoria

Come avevo segnalato il 6 Novembre scorso, il bug relativo a SSL per quanto riguarda una rinegoziazione della connessione cifrata da parte del client che può portare ad un attacco man-in-the-middle, la questione si fa sempre più interessante in quanto pare che gli attacchi stiano arrivando nel mondo reale: http://www.theregister.co.uk/2009/11/14/ssl_renegotiation_bug_exploited/.
Non mi soffermo sull’attacco in se, che ha riguardato Twitter in modo particolare, forse solo per poter attirare, giustamente, attenzione non solo tra gli addetti ai lavori.
Però c’è una buona notizia: sono già presenti patch per poter bloccare per lo meno la rinegoziazione da parte del client (ad esempio Debian ha già rilasciato gli abituali aggiornamenti di sicurezza), anche se una eventuale configurazione fatta per directory o location risulterà ancora vulnerabile.
Infatti per poter risolvere il problema in maniera definitiva è necessario, come già segnalavo, una ridiscussione del protocollo con un rilascio di nuove specifiche e, spero, di una nuova release.


This entry was posted on Tuesday, November 17th, 2009 at 8:39 PM and is filed under sicurezza.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.