Alert GCSA-25022 - Aggiornamento di sicurezza per OpenSSL

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256





*********************************************************************

Alert ID: GCSA-25022
Data: 13 Febbraio 2025
Titolo: Aggiornamento di sicurezza per OpenSSL

**********************************************************************


:: Descrizione del problema

E' stata riscontrata una vulnerabilita' in OpenSSL che potrebbe consentire
ad un attaccante remoto di provocare condizioni di Data Manipulation e/o Denial
of Service su un sistema che ne sia affetto.
La vulnerabilita' permette l'esecuzione di attacchi di tipo Man-in-the-Middle se
vengono utilizzate chiavi di tipo Raw Public Keys.


:: Sistemi e Software interessato

OpenSSL versioni 3.4, 3.3, 3.2


:: Impatto

Denial of Service
Data Manipulation
Information Leakage


:: Soluzioni

Aggiornare il software alle seguenti versioni:

Per la versione 3.4 aggiornare alla versione 3.4.1
Per la versione 3.3 aggiornare alla versione 3.3.3
Per la versione 3.2 aggiornare alla versione 3.2.4


:: Riferimenti

OpenSSL.org - Vulnerabilities
https://openssl-library.org/news/secadv/20250211.txt

CSIRT Italia
https://www.acn.gov.it/portale/w/vulnerabilita-in-openssl

Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-12797



GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert




-----BEGIN PGP SIGNATURE-----

iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZ63KDQAKCRDBnEyTZRJg
QgpxAJ92feYwQgac6tSG6HMuJyAFVc+bTgCgxrhQixtEwn4MRrFWM84xZbMi5hQ=
=6lTa
-----END PGP SIGNATURE-----