Trova news





I firewall ZyXEL sono immuni da Heartbleed bug

10-04-2014

L’Heartbleed bug è una grossa vulnerabilità del sistema di crittografia OpenSSL.

OpenSSL è il sistema di cifratura dei siti web protetti. Quelli di cui vediamo il lucchetto nella barra indirizzi.Questa vulnerabilità rende potenzialmente in grado di leggere le chiavi crittografiche e i dati privati degli utenti. OpenSSL è una implementazione open-source dei protocolli SSL e TLS, in grado di abilitare la relativa protezione crittografica per un grandissimo numero di siti web. Quindi è molto usata.

Apache, il server web su cui poggiano moltissimi siti web, basa la sua crittografia proprio su OpenSSL.

La falla è stata scoperta già a Febbraio 2012, ed è una estensione del protocollo OpenSSL chiamata TLS Heartbeat Extension (da qui il nome Heatbleed – cuore sanguinante – del bug) identificata anche dal codice ID CVE-2014-0160.

Questa permetterebbe ad un hacker di leggere fino a 64KB di memoria alla volta. Esaminando questa memoria l’hacker può leggere tutte le informazioni che dovrebbero essere crittografate.  

La falla è stata chiusa il 7 Aprile 2014 da un recente aggiornamento portando la versione a 1.0.1g.

Non tutte le precedenti release di openSSL sono affette dal bug. Anzi, le meno recenti sono quelle più sicure. Di seguito elencate le versione affette e quelle immuni.

Versioni affette da bug:

Vesioni non affette dal bug:

Per quanto riguarda i firmware degli USG, anche questi usando una implementazione di OpenSSL.

Sul firmware 2.x è usata la versione 0.9.8i (branch release della 0.9.8) e il firmware 3.30 usa l’implementazione 1.0.0a, quindi sicura come la 1.0.0

Quindi i firmware degli USG, e degli altri prodotti ZyXEL, sono immuni al bug Heartbleed.

Per ogni ulteriori informazione scrivere a: support@zyxel.it