Una falla in OpenSSL è stata scoperta da Red Hat, che ha prontamente segnalato la cosa e ha provveduto a fornire un rimedio per eliminarla. Una vulnerabilità che, se sfruttata, permette l´esecuzione di codice maligno da parte di un eventuale malintenzionato.
Le versioni coinvolte sono quelle dalla 0.9.8f alla 0.9.8o, oltre che la 1.0.0 e la 1.0.0a. La fonte del problema è stata rintracciata nel codice di OpenSSL relativo al parsing di estensioni TLS: nel caso in cui più sessioni cerchino di impostare un host name si viene a creare una situazione overflow, sfruttabile da remoto per l´esecuzione di 255 byte di codice.
Gli sviluppatori di OpenSSL hanno subito ridimensionato il problema, affermando che riguarda solo macchine sulle quali sia stato abilitato il multi-threading e che utilizzano il sistema interno di caching di OpenSSL. La cerchia dei computer a rischio viene così ristretta, ma non del tutto eliminata.
La soluzione migliore per tappare la falla è quella di aggiornare i pacchetti alle ultime versioni disponibili, 0.9.8p e 1.0.0b, fornite dalla stessa Red Hat. Per maggiori dettagli è disponibile il bugzilla ufficiale del gruppo che mette a disposizione ulteriori informazioni.