Skip to main content

Bug Heartbleed

Errore correlato

“Questo server è vulnerabile ad Heartbleed. Esegui l’aggiornamento con l’ultima versione di OpenSSL, sostituisci il certificato sul server web o sul dispositivo, e reimposta le password per l’utente finale che possono essere state visibili nella memoria di un server compromesso.”

Problema

Il bug Heartbleed si trova nell’estensione heartbeat della libreria di crittografia OpenSSL. Le librerie di crittografia in OpenSSL versioni da 1.0.1 a 1.0.1f e 1.0.2-beta1 sono vulnerabili a questo attacco. La vulnerabilità del bug Heartbleed è un punto debole nella libreria di crittografia OpenSSL, che consente a un pirata di ottenere l’accesso a informazioni sensibili che di solito vengono protette dai protocolli SSL e TLS.

Avviso

OpenSSL è un toolkit open-source che implementa i protocolli Secure Sockets Layer (SSL) e Transport Security Layer Security (TLS). Esso include una libreria crittografica che utilizza funzioni crittografiche e fornisce diverse funzioni utility. Questa libreria crittografica viene implementata comunemente dai server su Internet per proteggere la maggior parte del traffico di Internet.

Un pirata può usare l’attacco bug Heartbleed per poter accedere a:

  • Chiavi di crittografia

    Il pirata può usare queste decodificare le comunicazioni sicure passate e future sul tuo sito web e per impersonare il tuo sito web in qualsiasi momento.

  • Credenziali utente

    Il pirata può usare i nomi utente dei tuoi clienti e le relative password per accedere alle loro informazioni protette dal tuo sito web.

  • Contenuto protetto

    Il pirata può accedere a dettagli personali o finanziari, comunicazioni private (e-mail o instant message) e documenti.

  • Materiali informativi

    Il pirata può accedere al contenuto perso della memoria, come indirizzo della memoria e misure di sicurezza.

Soluzione

Software patch

Quando proteggi il tuo ambiente dal bug Heartbleed, dovrai eseguire la patch di OpenSSL sui server che eseguono versioni vulnerabili di OpenSSL e del software che usa le versioni interessate della libreria OpenSSL.

Esegui l’upgrade all’ultima versione di OpenSSL (versione 1.0.1g o successiva).

  • Server

    Controlla la tua gestione pacchetti per verificare che ci sia un pacchetto OpenSSL aggiornato e installalo. Se non hai un pacchetto OpenSSL aggiornato, richiedi l’ultima versione di OpenSSL al tuo fornitore di servizi.

  • Software

    Controlla se vi sono patch software rilasciate per risolvere la vulnerabilità bug Heartbleed e installale. Se non hai delle patch software, contatta il tuo fornitore software per ottenere l’ultima patch e installala.

Nota

Potresti dover riavviare il software dopo aver eseguito la patch per verificare che la libreria OpenSSL sia reimpostata e che il bug Heartbleed sia stato rimosso dalla memoria in cache.

Se non riesci ad eseguire l’upgrade all’ultima versione di OpenSSL:

  • Esegui il rollback di OpenSSL versione 1.0.0 o precedente.

  • Ricompila OpenSSL con il contrassegno OPENSSL_NO_HEARTBEATS.

Verifica che le patch delle vulnerabilità siano state eseguite

Usa DigiCert Discovery per ripetere la scansione del tuo ambiente per verificare che non sei più vulnerabile all’attacco bug Heartbleed.

Reimposta chiavi, riemetti e installa certificati

  • Reimposta le chiavi e riemetti tutti i certificati sui server interessati. Quando riemetti i certificati, assicurati di generare nuove richieste di firma certificato (CSR). Consulta Crea una CSR.

  • Dopo aver eseguito la patch di server e software, e solo allora, installa i tuoi certificati riemessi.

Revoca certificati sostituiti

Dopo aver installato i certificati riemessi, devi revocare i certificati che sono stati sostituiti. Per revocare i certificati, contatta la tua autorità di certificazione.

Per i clienti DigiCert, invia un’e-mail all’assistenza. Verifica di includere il numero d’ordine del tuo certificato e una breve descrizione di ciò che vuoi revocare.

Reimposta le password

Se i tuoi server accettano le password, devi richiedere anche ai tuoi clienti di reimpostare le loro, ma solo dopo aver eseguito la patch di server e software e reimpostato le chiavi, riemesso, installato e revocato i certificati.

Avviso

Se i client reimpostano le loro password prima di eseguire la patch di server/software e di reimpostare le chiavi dei certificati, di riemetterli, installarli e revocarli, le loro password sarebbero ancora esposte. Devono reimpostare nuovamente le password.