Videó: Várkerti séta a SZÃVESHÃZ-zal. (November 2024)
Van egy új verzió az OpenSSL-ről, és igen, kiderül, hogy a biztonsági csomag korábbi verziói súlyos sérülékenységeket tartalmaztak. Ezek a hiányosságok azonban jó dolog; nem a szívveréses méretű katasztrófát vizsgáljuk.
Első pillantásra az OpenSSL tanácsadója, amely felsorolja az OpenSSL-ben kijavított hét sebezhetőséget, ijesztőnek tűnik. Az egyik hiba, ha kihasználják, lehetővé teheti a támadó számára, hogy megnézze és módosítsa az OpenSSL kliens és az OpenSSL szerver közötti forgalmat egy közép-ember támadás során. A probléma az OpenSSL és az 1.0.1 vagy 1.0.2-beta1 kiszolgáló összes kliens verziójában jelen van. A támadás sikeréhez - és meglehetősen bonyolult kezdeni - mind az ügyfél, mind a kiszolgáló kiszolgáltatott verzióinak jelen kell lenniük.
Bár a probléma mértéke nagyon korlátozott, talán aggódik amiatt, hogy továbbra is használja a szoftvert az OpenSSL-rel együtt. Először: szívverés. Most a középső ember támadása. Ha arra összpontosítunk, hogy az OpenSSL hibákat tartalmaz (mi a szoftver nem?), Akkor egy nagyon kritikus pont hiányzik: Javításuk történik.
Több szem, nagyobb biztonság
Az a tény, hogy a fejlesztők ezeket a hibákat közzéteszik és kijavítják, megnyugtató, mert azt jelenti, hogy több szemgolyónk van az OpenSSL forráskódján. Egyre több ember vizsgálja meg az egyes sorokat a lehetséges sebezhetőségek szempontjából. A Heartbleed hibájának az év elején történő nyilvánosságra hozatala után sok ember meglepődött, hogy felfedezték, hogy a projektnek nem volt sok finanszírozása vagy sok dedikált fejlesztője annak széles körű használata ellenére.
"Ez az [OpenSSL] megérdemli a biztonsági közösség figyelmét, amelyet jelenleg kap" - mondta Wim Remes, az IOActive ügyvezető tanácsadója.
A technológiai óriások konzorciuma, köztük a Microsoft, az Adobe, az Amazon, a Dell, a Google, az IBM, az Intel és a Cisco, a Linux Alapítvánnyal együtt felállt a Core Infrastructure Initiative (CII) létrehozására. A CII a nyílt forráskódú projektekből finanszírozza a teljes munkaidős fejlesztőket, a biztonsági ellenőrzéseket és a tesztelési infrastruktúra fejlesztését. Az OpenSSL volt az első projekt, amelyet a CII keretében finanszíroztak; A Network Time Protocol és az OpenSSH szintén támogatott.
"A közösség felhívta a figyelmet annak biztosítására, hogy az OpenSSL jobb termék legyen, és hogy a problémákat gyorsan megtalálják és kijavítsák" - mondta Steve Pate, a HyTrust főépítésze.
Kell aggódnia?
Rendszergazdaként frissítenie kell az OpenSSL-t. További hibákat talál és javít, ezért a rendszergazdáknak figyelniük kell a javításokat, hogy a szoftver naprakész legyen.
A legtöbb fogyasztó számára nem sok miatt kell aggódni. A hiba kihasználása érdekében az OpenSSL-nek a kommunikáció mindkét végén jelen kell lennie, és ez általában nem történik meg a webböngészés során - mondta Ivan Ristic, a Qualys mérnöki igazgatója. Az asztali böngészők nem támaszkodnak az OpenSSL-re, és annak ellenére, hogy az Android készülékeken és a Chrome-ban lévő Android böngészője mind az OpenSSL-t használja. "A kizsákmányoláshoz szükséges feltételeket meglehetősen nehezebb megtalálni" - mondta Ristic. Az a tény, hogy a kizsákmányolás megköveteli az ember közép helyzetét, "korlátozó", mondta.
Az OpenSSL-t gyakran használják a parancssori segédprogramokban és a programozási hozzáféréshez, így a felhasználóknak azonnal frissíteniük kell. És az általuk használt, az OpenSSL-t használó alkalmazásokat frissíteni kell, amint új verziók rendelkezésre állnak.
Frissítse a szoftvert, és "készüljön fel a rendszeres frissítésekre az OpenSSL jövőjében, mivel ezek nem az utolsó hibák, amelyeket ebben a szoftvercsomagban találnak" - figyelmeztette Wolfgang Kandek, a Qualys műszaki vezetője.
