Bug Heartbleed

Errore correlato

"Questo server è vulnerabile ad Heartbleed. Esegui l’aggiornamento con l’ultima versione di OpenSSL, sostituisci il certificato sul server web o sul dispositivo, e reimposta le password per l’utente finale che possono essere state visibili nella memoria di un server compromesso."

Problema

Il bug Heartbleed si trova nell’estensione heartbeat della libreria di crittografia OpenSSL. Le librerie di crittografia in OpenSSL versioni da 1.0.1 a 1.0.1f e 1.0.2-beta1 sono vulnerabili all’attacco bug Heartbleed. La vulnerabilità del bug Heartbleed è un punto debole nella libreria di crittografia OpenSSL, che consente a un pirata di ottenere l’accesso a informazioni sensibili che di solito vengono protette dai protocolli SSL e TLS.

OpenSSL è uno strumento open-source che implementa i protocolli Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS), compresa una libreria di crittografia che utilizza funzioni di crittografia e fornisce varie funzioni di utilità. Questa libreria di crittografia viene implementata comunemente dai server su Internet per proteggere la maggior parte del traffico di Internet.

Un pirata può usare l’attacco bug Heartbleed per poter accedere a:

  • Chiavi di crittografia
    Il pirata può usare queste chiavi per decodificare le comunicazioni sicure passate e future sul tuo sito web e per impersonare il tuo sito web in qualsiasi momento.
  • Credenziali di utenti
    Il pirata può usare i nomi utente dei tuoi clienti e le relative password per accedere alle loro informazioni protette dal tuo sito web.
  • Contenuto protetto
    Il pirata può accedere a dettagli personali o finanziari, comunicazioni private (e-mail o instant message) e documenti.
  • Materiali informativi
    Il pirata può accedere al contenuto della memoria fuoriuscito, come indirizzo della memoria e misure di sicurezza.

Soluzione

Software patch

Quando proteggi il tuo ambiente dal bug Heartbleed, dovrai eseguire la patch di OpenSSL sui server che eseguono versioni vulnerabili di OpenSSL, e del software che usa le versioni interessate della libreria OpenSSL.

Esegui l’upgrade all’ultima versione di OpenSSL (versione 1.0.1g o successiva).

  • Server
    Controlla la tua gestione pacchetti per verificare che ci sia un pacchetto OpenSSL aggiornare e installalo. Se non hai un pacchetto OpenSSL aggiornato, richiedi l’ultima versione di OpenSSL dal tuo fornitore di servizi.
  • Software
    Controlla se vi sono patch software rilasciate per risolvere la vulnerabilità bug Heartbleed e installale. Se non hai delle patch software, contatta il tuo fornitore software per ottenere l’ultima patch e installala.
    Nota: Potresti dover riavviare il software dopo aver eseguito la patch per verificare che la libreria OpenSSL sia reimpostata e che il bug Heartbleed sia stato rimosso dalla memoria in cache.

Potresti dover riavviare il software dopo aver eseguito la patch per verificare che la libreria OpenSSL sia reimpostata e che il bug Heartbleed sia stato rimosso dalla memoria in cache.

Se non riesci ad eseguire l’upgrade all’ultima versione di OpenSSL:

  • Esegui il rollback di OpenSSL versione 1.0.0 o precedente.
  • Ricompila OpenSSL con il contrassegno OPENSSL_NO_HEARTBEATS.

Verifica che le vulnerabilità del bug Heartbleed siano state sottoposte a patch

Usa DigiCert Discovery per ripetere la scansione del tuo ambiente per verificare che non sei più vulnerabile all’attacco bug Heartbleed.

Reimposta chiavi, riemetti e installa certificati

  • Reimposta le chiavi e riemetti tutti i certificati sui tuoi server interessati.
    Quando riemetti i certificati, accertati di generare nuove richieste di firma certificato (CSR). Consulta Crea una CSR.
  • Dopo aver eseguito la patch di server e software, e solo dopo allora, installa i tuoi certificati riemessi.

Revoca certificati sostituiti

Dopo aver installato i certificati riemessi, devi revocare i certificati che sono stati sostituiti. Per revocare i certificati, contatta la tua autorità di certificazione.

Per i clienti DigiCert, invia un’e-mail all’assistenza all’indirizzo support@digicert.com. Verifica di includere il numero d’ordine del tuo certificate e una breve descrizione di ciò che vuoi revocare.

Reimposta le password

Se i tuoi server accettano le password, devi richiedere anche ai tuoi clienti di reimpostare le loro password, ma solo dopo aver eseguito la patch di server e software e reimpostato le chiavi, riemesso, installato e revocato i certificati.

Se i client reimpostano le loro password prima di eseguire la patch di server/software e di reimpostare le chiavi, riemettere, installare e revocare i certificati, le loro password erano ancora esposte e devono reimpostare di nuovo le password.