L’Heartbleed bug è una grossa vulnerabilità del sistema di crittografia OpenSSL.

OpenSSL è il sistema di cifratura dei siti web protetti. Quelli di cui vediamo il lucchetto nella barra indirizzi.Questa vulnerabilità rende potenzialmente in grado di leggere le chiavi crittografiche e i dati privati degli utenti.

OpenSSL è una implementazione open-source dei protocolli SSL e TLS, in grado di abilitare la relativa protezione crittografica per un grandissimo numero di siti web. Quindi è molto usata.

Apache, il server web su cui poggiano moltissimi siti web, basa la sua crittografia proprio su OpenSSL.

La falla, diventata di dominio pubblico nel 2014, è stata in realtà scoperta dalla NSA già a Febbraio 2012, ed è una estensione del protocollo OpenSSL chiamata TLS Heartbeat Extension (da qui il nome Heartbleed – cuore sanguinante – del bug)

identificata anche dal codice ID CVE-2014-0160.

Questa permetterebbe ad un hacker di leggere fino a 64KB di memoria alla volta. Esaminando questa memoria l’hacker può leggere tutte le informazioni che dovrebbero essere crittografate.  

La falla è stata chiusa il 7 Aprile 2014 da un recente aggiornamento portando la versione a 1.0.1g.

Non tutte le precedenti release di OpenSSL sono affette dal bug. Anzi, le meno recenti sono quelle più sicure. Di seguito elencate le versione affette e quelle immuni.

Versioni affette da bug:

• OpenSSL 1.0.2-beta
• OpenSSL 1.0.1 – OpenSSL 1.0.1f

Versioni non affette dal bug:

• OpenSSL 1.0.2-beta2 (in arrivo)
• OpenSSL 1.0.1g
• OpenSSL 1.0.0 (e tutte le release  1.0.0)
• OpenSSL 0.9.8 (e tutte le release  0.9.8)

Per quanto riguarda i firmware degli USG, anche questi usando una implementazione di OpenSSL.

Sul firmware 2.x è usata la versione 0.9.8i (branch release della 0.9.8) e il firmware 3.30 usa l’implementazione 1.0.0a, quindi sicura come la 1.0.0

Quindi i firmware degli USG, e degli altri prodotti ZyXEL, sono immuni al bug Heartbleed.

• Filippo Heartbleed test.
• LastPass Heartbleed checker.

 (tratto da www.zyxel.it)