Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

OpenSSL: aggiornate le policy sui bug

Link copiato negli appunti

Il team che si occupa dello sviluppo e di OpenSSL, nota implementazione rilasciata sotto (doppia) licenza Open Source dei protocolli crittografici SSL (Secure Sockets Layer) e TLS (Transport Layer Security) per le comunicazioni protette, ha recentemente modificato le policy riguardanti la diffusione di informazioni relative ai bug e ad altre problematiche legate alla sicurezza.

Nello specifico l'aggiornamento affronta le questioni inerenti l'information disclosure, fattore che se gestito in modo adeguato potrebbe andare anche a vantaggio della vasta community di utilizzatori della libreria; a tal proposito è stato introdotto un nuovo sistema per la classificazione delle vulnerabilità individuate, una tassonomia basata in pratica sul quello che dovrebbe essere il reale livello di gravità delle falle in attesa di correzione.

Sostanzialmente, le policy attuali stabilirebbero che nei casi più gravi (high severity issues) non dovrebbe essere diffusa alcuna notizia fino al momento in cui non dovesse essere rilasciato un upgrade, o più aggiornamenti, in grado di mettere in sicurezza tutti i rami di sviluppo principali supportati; verrà fatta un'eccezione soltanto per coloro che implementano piattaforme come per esempio le distribuzioni basate sul Kernel Linux, destinati a ricevere tali informazioni in anticipo per ragioni legate alla distribuzione dei packages.

Per quanto riguarda invece i bug considerati a moderato livello di gravità (moderate severity issues) non si dovrebbero avere fughe di notizie prima della pubblicazione di una versione realizzata per la loro correzione; infine, le vulnerabilità ritenute a basso livello di rischio (low severity issues) dovrebbero essere rese note sin da subito.

Verrà quindi considerata non particolarmente preoccupante una falla correlata ad un exploit di difficile esecuzione, mediamente rischioso un bug che potrebbe dar luogo a malfunzionamenti, come per esempio crash a carico delle applicazioni, e pericolosa un vulnerabilità sfruttabile per l'esecuzione di attacchi finalizzati al DoS (Denial of Service).

Reso pubblico lo scorso aprile, Heartbleed Bug ha creato probabilmente più clamore e polemiche che problematiche di natura tecnica, motivo per il quale le nuove policy sarebbero mirate ad una diffusione più razionale delle notizie riguardanti la sicurezza.

Via OpenSSL Security Policy

Ti consigliamo anche