Vulnerabilità in OpenSSL provoca inquietudine nel settore della sicurezza
In un importante sviluppo, il progetto OpenSSL ha rilasciato una patch per una vulnerabilità critica, che gli esperti di sicurezza avvertono potrebbe essere una delle più gravi degli ultimi decenni. Questo aggiornamento arriva sei anni dopo la famosa vulnerabilità Heartbleed.
La vulnerabilità riguarda chiunque utilizzi OpenSSL versione 3.0 o successiva, e si stima che più di 1.000 repository di immagini potrebbero essere interessati in varie immagini ufficiali Docker e Docker Verified Publisher, basate su Debian 12, Ubuntu 22.04 e RedHat Enterprise Linux 9+.
Il ruolo in evoluzione dei Chief Information Security Officers (CISOs) implica una migliore comprensione e gestione dei rischi legati allo stack tecnologico. Con questa vulnerabilità, è fondamentale per le organizzazioni identificare dove utilizzano OpenSSL nei loro ambienti per prepararsi all'aggiornamento di sicurezza. Ciò può essere fatto utilizzando un software bill of materials.
Tra il 0,2% e il 33% delle macchine nelle reti con una dipendenza vulnerabile di OpenSSL, hanno una dipendenza da una versione vulnerabile di OpenSSL. Circa il 50% dei ambienti monitorati da Akamai ha almeno una macchina con un processo dipendente da una versione vulnerabile di OpenSSL.
Johannes Ullrich, decano di ricerca presso il SANS Technology Institute, ha dichiarato che una delle lezioni apprese da Heartbleed è stata la necessità di più tempo per prepararsi alle vulnerabilità di OpenSSL. Per questo motivo, OpenSSL ha iniziato a emettere avvertimenti anticipati, cosa insolita, dando all'industria più di una settimana di tempo per prepararsi.
Il settore IT è diventato altamente sensibile alle questioni relative alla catena di fornitura del software e alla sicurezza del software open source, dopo la rivelazione della vulnerabilità Log4j lo scorso anno. Gli stakeholder aziendali sono sempre più interessati a comprendere la valutazione del rischio del loro stack tecnologico, con la domanda "Siamo un bersaglio?" che rimane una preoccupazione costante.
OpenSSL è una libreria di codice utilizzata su internet per le comunicazioni sicure. I dettagli specifici della vulnerabilità attuale non sono stati rilasciati e non è stato ancora emesso un CVE.
Le organizzazioni sono invitate ad agire prontamente nell'applicare l'aggiornamento di sicurezza per minimizzare i rischi potenziali. Il progetto OpenSSL, nel suo solito impegno per la sicurezza di internet, sta facendo la sua parte per garantire un mondo digitale più sicuro.
Leggi anche:
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
