OpenSSL è nuovamente sotto attacco, questa volta dalla minaccia DROWN. A pubblicare l’avviso ufficiale è l’organismo OpenSSL con il comunicato CVE-2016-0800 del 1 marzo 2016.
Che cosa è DROWN, la spiegazione ufficiale è questa:
A cross-protocol attack was discovered that could lead to decryption of TLS sessions by using a server supporting SSLv2 and EXPORT cipher suites as a Bleichenbacher RSA padding oracle.
Si tratta di una minaccia di severità alta, che dovrebbe essere mitigata installando la versioni aggiornate del certificato open, in particolare:
OpenSSL 1.0.2 users should upgrade to 1.0.2g
OpenSSL 1.0.1 users should upgrade to 1.0.1s
OpenSSL, vi ricorderete, era già stato vittima dell’attacco Hearthbleed. Si potrebbe certo dire che DROWN fa parte di quella categoria di minacce inevitabili, causate dalla retro-compatibilità e dal percorso di crescita del prodotto.
E adesso attendiamo che banche, certificatori e aziende, procedano all’aggiornamento dei sistemi. Vi allego la comunicazione ufficiale CVE-2016-0800.