C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica
Annunciata con largo anticipo da Mark Cox, sviluppatore Red Hat e VP security della Apache Software Foundation, la versione 3.0.7 di OpenSSL è una di quelle a cui tutti noi dovremmo prestare particolare attenzione.
Il motivo risiede nell’entità dell’annuncio:
Il quale contiene la risoluzione a una CVE ritenuta di entità Critical. Questa dizione non è mai utilizzata con leggerezza nell’ambito delle vulnerabilità, perciò come segnala ZDNet, è bene non sottovalutarla.
Quindi sì, al solito è bene predisporre il consueto giro di patch se nei vostri workload è previsto l’utilizzo della versione 3 di OpenSSL.
Altro aspetto interessante riguardo questo annuncio è relativo al tweet in sé che è datato 25 ottobre e su cui gli utenti, già nelle risposte sottostanti, si sono interrogati. Perché infatti annunciare la pubblicazione di una nuova versione con una settimana di anticipo? Qualcuno, giustamente, si è chiesto se questa modalità in realtà non favorisse eventuali attackers dandogli il tempo di sfruttare la vulnerabilità prima che la patch sia disponibile.
In realtà questa modalità di annuncio è parte della policy standard del progetto OpenSSL, perciò nessun tentativo di favorire cracker o affini.
Ad ogni modo comunque la faccenda è “seria”. Tanto per dare un’idea l’ultima volta che una situazione del genere si era verificata per il progetto OpenSSL era il lontano 2016, pertanto non siamo di fronte a qualcosa di usuale.
Tenete presente che OpenSSL 3 è utilizzata da Red Hat Enterprise Linux 9 e da Ubuntu 22.04, chi utilizza questi sistemi è bene si predisponga.
Al momento della scrittura di questo articolo la patch dovrebbe essere disponibile da due giorni, pertanto… Aggiornate, aggiornate, aggiornate!
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
