Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Grave vulnerabilità in sistemi OpenBSD

OpenBSD   lunedì, 9 dicembre 2019

I ricercatori della società Qualys hanno recentemente scoperto una vulnerabilità di gravità elevata (CVE-2019-19521) all’interno delle tecnologie basate sul sistema operativo OpenBSD, utilizzato come base per la realizzazione di sistemi embedded, dispositivi e servizi di rete, oltre che apparati di sicurezza.

Come segnalato al CERT Nazionale dalla società Yoroi, la problematica è causata da lacune nella gestione dei parametri di autenticazione all’interno della libreria “libc” di sistema. Stando a quanto riportato dagli scopritori, la vulnerabilità può essere sfruttata sia localmente, sia da remoto per accedere ai sistemi aggirando ogni eventuale autenticazione. 

La falla può quindi permettere accessi abusivi remoti per via dell’utilizzo di funzionalità di autenticazione vulnerabili in servizi di sistema come “ldapd”, di autenticazione RADIUS “radiusd” e di posta elettronica “smtpd”.

Il produttore ha confermato la problematica e rilasciato opportune patch di sicurezza per OpenBSD 6.6, incorporandole nella codebase della versione stabile del sistema operativo.

Per via della disponibilità di dettagli tecnici utilizzabili per riprodurre la criticità e della potenziale esposizione di servizi affetti (ed es., servizi di posta e di autenticazione RADIUS), si raccomanda ai gestori di tecnologie basate su OpenBSD di richiedere ai relativi produttori informazioni sullo stato di vulnerabilità dei prodotti e sulla disponibilità di aggiornamenti specifici.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili si consiglia di consultare le seguenti fonti esterne (in Inglese):