Si sta espandendo velocemente in rete la notizia che ci sarebbe una vulnerabilità nel protocollo SSL/TLS che può essere sfruttata per inserire dati all’interno di una connessione sicura.
Questo mette a rischio tutti i protocolli che utilizzano connessioni sicure, a partire da quelle https. Il problema non è nella singola implementazione, ma proprio nel protocollo stesso e si fonda su una svista nella gestione della rinegoziazione che consente attacchi di tipo Man in the middle.
Al momento sono sicuramente vulnerabili le ultime versioni di openSSL, Apache, IIS e molti altri software che utilizzano il protocollo. Le prime patch che sono uscite puntano alla disabilitazione della rinegoziazione in attesa di una soluzione a lungo termine che è ancora oggetto di discussione.
Per un approfondimento potete seguire la discussione sulla mailing list del working group IETF sul TLS.
Fonte: http://feeds.blogo.it/ossblog/it?format=xml
