Milano. Buffalo Technology annuncia che tutte le proprie soluzioni su cui è installato il firmware Buffalo sono al sicuro da tutti i rischi derivanti dal bug Heartbleed.
Presente nelle versioni OpenSSL, dalla 1.0.1 alla 1.0.1f compresa, infatti, il bug Heartbleed è potenzialmente in grado di consentire l'accesso alle password e alle credenziali degli utenti attraverso alcuni sistemi e siti web.
Buffalo Technology conferma che l'intera gamma dei propri NAS è completamente immune da questi problemi e a tal proposito Klaas de Vos, COO di Buffalo Technology Europe, ha affermato: “I nostri ingegneri software giapponesi sono sempre stati particolarmente attenti a tutti gli aspetti inerenti alla sicurezza e, quando l'estensione Open SSL chiamate “Heart Beat” è stata resa disponibile, hanno deciso di non implementarla sulle nostre soluzioni, compiendo una scelta che si è dimostrata azzeccata.”
Helge Lichner, Sales Engineer di Buffalo Technology Europe ha aggiunto: “Da un punto di vista prettamente tecnico l'adozione di quella particolare estensione di Open SSL non era stata ritenuta utile, quindi, i tecnici Buffalo hanno deciso di continuare a utilizzare per le LinkStation, TeraStation e AirStation versioni Open SSL stabili e collaudate, che hanno garantito la massima sicurezza agli utenti.”
Sebbene tutti i router della famiglia AirStation con firmware Buffalo siano totalmente sicuri, Buffalo segnala che tre prodotti fuori produzione, AirStation WZR-HP-G300NH2, WZR-HP-G450H o WZR-HP-AG300H, su cui poteva essere installato il firmware DD-WRT, possono essere a rischio se le impostazioni di default sono state modificate. Si consiglia, quindi, a quanti abbiano attivato manualmente 'Open VPN', di consultare la seguente pagina: http://www.dd-wrt.com/site/content/heartbleed-dd-wrtdd-wrt-online-services
Il team di DD-WRT sta lavorando a una patch e al contempo chiede agli utenti di non preoccuparsi. Peter Steinhäuser, Managing Director di NewMedia – NET GmbH ha dichiarato: “OpenSSL è stato immediatamente aggiornato nella DD-WRT SVN repository. Nei prossimi giorni forniremo le versioni aggiornate per tutti i router, tra cui quelle specifiche per i tre router Buffalo. Consigliamo agli utenti interessati, in ogni caso, di verificare per prima cosa se la loro configurazione è realmente esposta a rischi, poiché di default nessun servizio OpenSSl è attivo in DD-WRT.”
Chi è Heartbleed?
Il bug Heartbleed prende il nome dall'estensione del protocollo TLS/SSL “Heart Beat“, utilizzata per mantenere attive le sessioni SSL. Tale estensione è particolarmente importante per i server, poiché sono necessarie minori risorse per controllare se un client è ancora attivo, rispetto a quelle necessarie per ristabilire una connessione che è stata tagliata. L'intenzione era quella di migliorare le prestazioni e la sicurezza dei server, tuttavia un difetto di progettazione ha causato la vulnerabilità che è stata chiamata Heartbleed. I sistemi che utilizzano le versioni di Open SSL con questa particolare estensione sono, quindi, potenzialmente vulnerabili. Rilasciata nel 2012, l'estensione si è largamente diffusa sino all'Aprile 2014, quando è stata rilevata la criticità. Ulteriori informazioni sono disponibili ai seguenti link:
– http://www.infoq.com/news/2014/04/heartbleed-ssl
– http://heartbleed.com/
la Redazione
