Heartbleed è il termine che ultimamente sta togliendo il sonno ai security manager. Il bug associato a OpenSSL sta, infatti, interessando un numero crescente di server aziendali ed è fondamentale trovare metodi efficaci per verificare innanzitutto se si è vulnerabili.
HP Security Research, l'organizzazione dedita alla sicurezza di HP tra le più importanti e vaste al mondo, ha messo a disposizione un contenuto di sicurezza che consente di verificare il bug Heartbleed sfruttando HP WebInspect, lo strumento automatizzato e configurabile per i test di penetrazione e il controllo della sicurezza delle applicazioni Web che emula le tecniche e gli attacchi reali degli hacker.
HP Webinspect
Questo aggiornamento di sicurezza è immediatamente scaricabile dai clienti di HP utilizzando SmartUpdate e include una regola dedicata "OpenSSL Heartbleed" e un nuovo meccanismo di controllo per rilevare la vulnerabilità di sovra-lettura che interessa il buffer dell'estensione TLS Heartbleed che è stata identificata nelle versioni OpenSSL 1.0.1 e 1.0.2 beta.
Per sfruttare nel modo più efficace questo aggiornamento per la sicurezza dei contenuti, HP suggerisce di configurare HP WebInspect per eseguire una scansione del server applicativo in modalità "solo audit" e di selezionare la regola "OpenSSL Heartbleed".
Inoltre HP raccomanda ai propri clienti di verificare le implementazioni OpenSSL per assicurarsi che tutte le librerie installate siano state aggiornate alle versioni 1.0.1g oppure 1.0.2-beta2 o a versioni superiori.
Per verificare la versione dell'installazione di OpenSSL esistente è possibile eseguire il comando "openssl version" .