LibreSSL, scoperte due nuove vulnerabilità

Ancora problemi di sicurezza per LibreSSL, la libreria crittografica pensata per sostituire OpenSSL dopo gli attacchi e le pericolose vulnerabilità di sicurezza individuati in questi anni; anche LibreSSL, in ogni caso, non è esente da difetti e i ricercatori scovano nuovi bug con una certa regolarità.

Gli ultimi due bachi nel software sarebbero stati rilevati dagli esperti di Qualys, e sarebbero emersi mentre i ricercatori erano alla caccia di possibili vettori di attacco (con l’esecuzione di codice malevolo da remoto) sul daemon di posta elettronica Open Source noto come OpenSMTPD.

Visto che la caccia ai bug all’interno del codice di OpenSMTPD non aveva dato frutti, i ricercatori dicono di aver rivolto le loro attenzioni alle librerie usate dal daemon; una di queste era appunto LibreSSL, affetta da un bug di memory leak (CVE-2015-5333) e uno di buffer overflow (CVE-2015-5334).

Il primo bug avrebbe portato alla comparsa del secondo, e da lì un malintenzionato sarebbe in teoria potuto passare per eseguire codice malevolo da remoto. Vista l’interdipendenza fra le due problematiche, avrebbero infine rassicurato i ricercatori, lo sfruttamento delle vulnerabilità per un attacco concreto (su OpenBSD x86) non dovrebbe essere probabile.

Il codice necessario per l’eliminazione delle falle è già stato rilasciato.

Via | OpenWall