11 milioni di siti HTTPS a rischio

Una vulnerabilità vanifica la crittografia TLS e colpisce anche i server email.

« Older   Newer »
 
  Share  
.
  1. La DEA del Web
    CAT_IMG Posted on 4/3/2016, 11:46
        +1   -1
     
    .
    Avatar

    Advanced Member

    Group
    Super Amministratore
    Posts
    3,172
    Stima
    +66

    Status
    Offline
    Il protocollo SSL, che ha ormai 21 anni, è stato da soppiantato dal suo successore TLS perché ritenuto troppo insicuro. Eppure, continua a fare danni.

    È stato infatti appena scoperto un nuovo attacco in grado di violare le comunicazioni crittografate dei siti che adottano TLS (se le comunicazione è cifrata, il protocollo indicato nella barra degli indirizzi del browser passa da HTTP a HTTPS) proprio a causa dell'"eredità" di SSL.

    Il problema interessa quei siti che adoperano il protocollo TLS e l'algoritmo RSA. A causa della vulnerabilità, un hacker può tentare ripetutamente di connettersi usando SSLv2, ottenendo ogni volta alcune informazioni sulla chiave crittografica.

    Alcune implementazioni di TLS, mal configurate, mantengono infatti il supporto a SSLv2 per rispondere alle richieste dei computer client che ne richiedano esplicitamente l'uso: pertanto, la rimozione del supporto a SSL dai client non è sufficiente se non si controlla attentamente anche la configurazione di TLS.

    Come segnala RedHat, il problema riguarda anche la libreria OpenSSL, che fino all'ultimo aggiornamento risultava vulnerabile: chi gestisce un server farà bene a controllare di avere installata la versione 1.0.2g, rilasciata lo scorso 1 marzo.

    024032-620-q7nLZ-drown-explainer



    Una recente scansione rivela che sono 5,9 milioni i server web che supportano direttamente SSLv2 e quasi 1 milione i server email configurati allo stesso modo. Inoltre, un web server che non supporta SSL risulta comunque vulnerabile se per esempio sulla stessa macchina è presente un mail server che lo supporta, se le chiavi di cifratura RSA sono le stesse per entrambi i servizi.

    Il risultato di tutto ciò è che circa 11,5 milioni di siti protetti con HTTPS sono vulnerabili all'attacco, e anche un buon numero di mail server.

    IIS, il server web di Microsoft, a partire dalla versione 7.0 disabilita SSLv2 per impostazione predefinita e si può quindi considerare sicuro; anche la versione 3.13 (e successive) della libreria NSS non usa più SSL.



    SPOILER (clicca per visualizzare)
    www.zeusnews.it/n.php?c=24032
    Web
     
    Top
    .
0 replies since 4/3/2016, 11:46   28 views
  Share  
.

12 Area di Sicurezza Test
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumFree