Alert GCSA-21030 - Aggiornamento di sicurezza per OpenSSL
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21030
data: 26 marzo 2021
titolo: Aggiornamento di sicurezza per OpenSSL
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni del software OpenSSL
che risolvono due vulnerabilita' di livello alto.
Lo sfruttamento di queste vulnerabilita' potrebbe consentire
ad un aggressore di creare una condizione di DoS, oppure di
utilizzare un certificato valido ma non di livello CA, per agire
come una CA, firmando un certificato arbitrario per un utente,
un'organizzazione o un dispositivo.
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
OpenSSL versioni precedenti alla 1.1.1k
:: Impatto
Accesso a dati riservati (ID)
Denial of Service (DoS)
CWE-295: Improper Certificate Validation
https://cwe.mitre.org/data/definitions/295.html
CWE-476: NULL Pointer Dereference
https://cwe.mitre.org/data/definitions/476.html
:: Soluzioni
Aggiornare OpenSSL alla versione 1.1.1k
tramite gli upgrade del proprio sistema operativo,
o scaricando il software dal seguente link
https://www.openssl.org/source/
Le versioni 1.0.2 e 1.1.0 di OpenSSL non sono piu' supportate e
non ricevono piu' aggiornamenti. Agli utenti di queste versioni
si consiglia di eseguire l'aggiornamento a OpenSSL 1.1.1k.
:: Riferimenti
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20210325.txt
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450
RedHat
https://access.redhat.com/security/cve/CVE-2021-3449
https://access.redhat.com/security/cve/CVE-2021-3450
Debian Security Advisory
https://www.debian.org/security/2021/dsa-4875
https://security-tracker.debian.org/tracker/CVE-2021-3449
https://security-tracker.debian.org/tracker/CVE-2021-3450
Ubuntu Security Notice
https://ubuntu.com/security/notices/USN-4891-1
FreeBSD
https://security.freebsd.org/advisories/FreeBSD-SA-21:07.openssl.asc
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
SecurityWeek
https://www.securityweek.com/openssl-111k-patches-two-high-severity-vulnerabilities
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYF22rwAKCRDBnEyTZRJg
QkvOAJ98BsC81d9fPVBNZ15MTqBe4ea7wwCgrlg56HTkF78Q0l5Ldntg1WzedeY=
=4WYq
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21030
data: 26 marzo 2021
titolo: Aggiornamento di sicurezza per OpenSSL
******************************************************************
:: Descrizione del problema
Sono state rilasciate nuove versioni del software OpenSSL
che risolvono due vulnerabilita' di livello alto.
Lo sfruttamento di queste vulnerabilita' potrebbe consentire
ad un aggressore di creare una condizione di DoS, oppure di
utilizzare un certificato valido ma non di livello CA, per agire
come una CA, firmando un certificato arbitrario per un utente,
un'organizzazione o un dispositivo.
Maggiori informazioni sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Software interessato
OpenSSL versioni precedenti alla 1.1.1k
:: Impatto
Accesso a dati riservati (ID)
Denial of Service (DoS)
CWE-295: Improper Certificate Validation
https://cwe.mitre.org/data/definitions/295.html
CWE-476: NULL Pointer Dereference
https://cwe.mitre.org/data/definitions/476.html
:: Soluzioni
Aggiornare OpenSSL alla versione 1.1.1k
tramite gli upgrade del proprio sistema operativo,
o scaricando il software dal seguente link
https://www.openssl.org/source/
Le versioni 1.0.2 e 1.1.0 di OpenSSL non sono piu' supportate e
non ricevono piu' aggiornamenti. Agli utenti di queste versioni
si consiglia di eseguire l'aggiornamento a OpenSSL 1.1.1k.
:: Riferimenti
OpenSSL Security Advisory
https://www.openssl.org/news/secadv/20210325.txt
Mitre's CVE ID
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3449
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3450
RedHat
https://access.redhat.com/security/cve/CVE-2021-3449
https://access.redhat.com/security/cve/CVE-2021-3450
Debian Security Advisory
https://www.debian.org/security/2021/dsa-4875
https://security-tracker.debian.org/tracker/CVE-2021-3449
https://security-tracker.debian.org/tracker/CVE-2021-3450
Ubuntu Security Notice
https://ubuntu.com/security/notices/USN-4891-1
FreeBSD
https://security.freebsd.org/advisories/FreeBSD-SA-21:07.openssl.asc
Cisco
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssl-2021-GHY28dJd
SecurityWeek
https://www.securityweek.com/openssl-111k-patches-two-high-severity-vulnerabilities
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYF22rwAKCRDBnEyTZRJg
QkvOAJ98BsC81d9fPVBNZ15MTqBe4ea7wwCgrlg56HTkF78Q0l5Ldntg1WzedeY=
=4WYq
-----END PGP SIGNATURE-----