Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Bollettino CERT-N 150305.01
Vulnerabilità di OpenSSL: “TLS FREAK Attack”

Gravità (CVSS) 5
Data prima emissione 5 marzo 2015
Data ultima modifica -
Sistemi affetti Android, iOS, Linux, OS X, Unix
FREAK  OpenSSL  TLS  

OpenSSL è soggetto a una vulnerabilità che consente ad un attaccante in grado di intercettare il traffico tra un client e un server vulnerabili di causare il downgrade della cifratura forte utilizzata per proteggere il traffico HTTPS, forzando l’uso di chiavi RSA deboli.

Questo tipo di attacco, denominato FREAK (Factoring RSA Export Keys), è possibile qualora il server accetti suite di cifratura di tipo RSA_EXPORT (ad es., TLS_RSA_EXPORT_WITH_DES40_CBC_SHA) e il client supporti la stessa suite o utilizzi una versione di OpenSSL affetta dalla vulnerabilità CVE-2015-0204.

Bollettini correlati

Bollettino IT-CERT.160927.B02
Vulnerabilità critica in OpenSSL

27 settembre 2016

È stata scoperta una vulnerabilità critica (CVE-2016-6309) in OpenSSL che può consentire l’esecuzione di codice da remoto. Sono disponibili aggiornamenti che risolvono questa vulnerabilità in OpenSSL.Leggi tutto

Bollettino IT-CERT.160920.B01
Vulnerabilità in OpenSSL consente esecuzione di codice da remoto

20 settembre 2016

È stata scoperta una vulnerabilità di gravità elevata (CVE-2016-6303) in OpenSSL che può consentire l’esecuzione di codice da remoto.Leggi tutto

Bollettino CERT-N 160504.01
Vulnerabilità di OpenSSL

4 maggio 2016

La OpenSSL Software Foundation ha rilasciato in data 3 maggio 2016 un aggiornamento di sicurezza che risolve un totale di 6 diverse vulnerabilità di OpenSSL versioni 1.0.1 e 1.0.2 di cui due di gravità elevata.Leggi tutto