giovedì 1 maggio 2014

NAS di Buffalo Technology non colpiti dalla vulnerabilità Hearthbleed


I NAS delle famiglie LinkStation e TeraStation, così come tutti i router AirStation operanti con i firmware firmati Buffalo Technology, non sono stati messi a rischio dai problemi di sicurezza provocati dalla vulnerabilità Heartbleed. Buffalo, tuttavia, invita gli utenti a prestare attenzione alle impostazioni di tre dei suoi router fuori produzione, su cui potrebbe essere stato installato il firmware DD-WRT.

Buffalo Technology, uno dei più importanti produttori a livello mondiale di soluzioni di archiviazione e di rete, annuncia che tutte le proprie soluzioni su cui è installato il firmware Buffalo sono al sicuro da tutti i rischi derivanti dal bug Heartbleed. Presente nelle versioni OpenSSL, dalla 1.0.1 alla 1.0.1f compresa, infatti, il bug Heartbleed è potenzialmente in grado di consentire l'accesso alle password e alle credenziali degli utenti attraverso alcuni sistemi e siti Web. 

Buffalo Technology conferma che l'intera gamma dei propri NAS è completamente immune da questi problemi e a tal proposito Klaas de Vos, COO di Buffalo Technology Europe, ha affermato: "I nostri ingegneri software giapponesi sono sempre stati particolarmente attenti a tutti gli aspetti inerenti alla sicurezza e, quando l'estensione Open SSL chiamate "Heart Beat" è stata resa disponibile, hanno deciso di non implementarla sulle nostre soluzioni, compiendo una scelta che si è dimostrata azzeccata".

Helge Lichner, Sales Engineer di Buffalo Technology Europe ha aggiunto: "Da un punto di vista prettamente tecnico l'adozione di quella particolare estensione di Open SSL non era stata ritenuta utile, quindi, i tecnici Buffalo hanno deciso di continuare a utilizzare per le LinkStation, TeraStation e AirStation versioni Open SSL stabili e collaudate, che hanno garantito la massima sicurezza agli utenti".


Sebbene tutti i router della famiglia AirStation con firmware Buffalo siano totalmente sicuri, Buffalo segnala che tre prodotti fuori produzione, AirStation WZR-HP-G300NH2, WZR-HP-G450H or WZR-HP-AG300H, su cui poteva essere installato il firmware DD-WRT, possono essere a rischio se le impostazioni di default sono state modificate. Si consiglia, quindi, a quanti abbiano attivato manualmente 'Open VPN', di consultare la seguente pagina: http://tinyurl.com/heartbleed-dd-wrtdd-wrt 

Il team di DD-WRT sta lavorando a una patch e al contempo chiede agli utenti di non preoccuparsi. Peter Steinhäuser, Managing Director di NewMedia - NET GmbH ha dichiarato: "OpenSSL è stato immediatamente aggiornato nella DD-WRT SVN repository. Nei prossimi giorni forniremo le versioni aggiornate per tutti i router, tra cui quelle specifiche per i tre router Buffalo. Consigliamo agli utenti interessati, in ogni caso, di verificare per prima cosa se la loro configurazione è realmente esposta a rischi, poiché di default nessun servizio OpenSSl è attivo in DD-WRT". 

Il bug Heartbleed prende il nome dall'estensione del protocollo TLS/SSL "Heart Beat", utilizzata per mantenere attive le sessioni SSL. Tale estensione è particolarmente importante per i server, poiché sono necessarie minori risorse per controllare se un client è ancora attivo,  rispetto a quelle necessarie per ristabilire una connessione che è stata tagliata. L'intenzione era quella di migliorare le prestazioni e la sicurezza dei server, tuttavia un difetto di progettazione ha causato la vulnerabilità che è stata chiamata Heartbleed.  

I sistemi che utilizzano le versioni di Open SSL con questa particolare estensione sono, quindi, potenzialmente vulnerabili. Rilasciata nel 2012, l'estensione si è largamente diffusa sino all'Aprile 2014, quando è stata rilevata la criticità. Ulteriori informazioni sono disponibili ai seguenti link: http://www.infoq.com/news/2014/04/heartbleed-ssl - http://heartbleed.com. Per informazioni su Buffalo Technology visitare il sito Web all'indirizzo http://www.buffalo-technology.it




Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...