Heartbleed Bug, OpenSSL, IIS e .NET Framework

di , in Windows Server and Security,

L'Heartbleed Bug è una vulnerabilità nella popolare libreria OpenSSL. Ha causato parecchio panico in giro: il bug è stato corretto, ma è necessario aggiornare le applicazioni che hanno un riferimento ad una vecchia versione della libreria, altrimenti è possibile bypassare la crittografia.

IIS e il .NET Framework non ne fanno uso, perché Microsoft ha sviluppato una propria libreria (SChannel) per queste necessità, che usa fin dalle prime versioni di entrambi. Se quindi usate ASP.NET con IIS, siete al sicuro.

Questo discorso ovviamente non include il caso in cui abbiate un qualche reverse-proxy/load balancer/altro pezzo davanti ad IIS, che gestisce l'SSL per voi. In questo caso occorre che verifichiate se ci sono aggiornamenti per il vostro sistema (se usa OpenSSL, ce ne sonos sicuramente, perché la vulnerabilità è seria).

Infine, un chiarimento: non è SSL ad essere insicuro, ma il modo in cui è stato scritto un pezzo dell'implementazione di OpenSSL. Insomma, è un "semplice" errore di programmazione.

Commenti

Visualizza/aggiungi commenti

Heartbleed Bug, OpenSSL, IIS e .NET Framework 1010 1
| Condividi su: Twitter, Facebook, LinkedIn, Google+

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Nella stessa categoria
I più letti del mese