C’è una nuova versione di OpenSSL (3.0.7, uscita l’1 novembre) che fareste bene tutti ad installare perché risolve una CVE critica

Annunciata con largo anticipo da Mark Cox, sviluppatore Red Hat e VP security della Apache Software Foundation, la versione 3.0.7 di OpenSSL è una di quelle a cui tutti noi dovremmo prestare particolare attenzione.

Il motivo risiede nell’entità dell’annuncio:

OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC. Does not affect versions before 3.0. https://t.co/jIRQhx0nCr

— Mark J Cox (@iamamoose) October 25, 2022

Il quale contiene la risoluzione a una CVE ritenuta di entità Critical. Questa dizione non è mai utilizzata con leggerezza nell’ambito delle vulnerabilità, perciò come segnala ZDNet, è bene non sottovalutarla.

Quindi sì, al solito è bene predisporre il consueto giro di patch se nei vostri workload è previsto l’utilizzo della versione 3 di OpenSSL.

Altro aspetto interessante riguardo questo annuncio è relativo al tweet in sé che è datato 25 ottobre e su cui gli utenti, già nelle risposte sottostanti, si sono interrogati. Perché infatti annunciare la pubblicazione di una nuova versione con una settimana di anticipo? Qualcuno, giustamente, si è chiesto se questa modalità in realtà non favorisse eventuali attackers dandogli il tempo di sfruttare la vulnerabilità prima che la patch sia disponibile.

In realtà questa modalità di annuncio è parte della policy standard del progetto OpenSSL, perciò nessun tentativo di favorire cracker o affini.

Ad ogni modo comunque la faccenda è “seria”. Tanto per dare un’idea l’ultima volta che una situazione del genere si era verificata per il progetto OpenSSL era il lontano 2016, pertanto non siamo di fronte a qualcosa di usuale.

Tenete presente che OpenSSL 3 è utilizzata da Red Hat Enterprise Linux 9 e da Ubuntu 22.04, chi utilizza questi sistemi è bene si predisponga.

Al momento della scrittura di questo articolo la patch dovrebbe essere disponibile da due giorni, pertanto… Aggiornate, aggiornate, aggiornate!