Domov Varnostna ura Zakaj se opensl spet zakrpi, je dobra novica

Zakaj se opensl spet zakrpi, je dobra novica

Video: The Great Gildersleeve: Investigating the City Jail / School Pranks / A Visit from Oliver (November 2024)

Video: The Great Gildersleeve: Investigating the City Jail / School Pranks / A Visit from Oliver (November 2024)
Anonim

Obstaja nova različica OpenSSL, in ja, izkazalo se je, da so prejšnje različice varnostnega paketa imele nekaj resnih ranljivosti. Vendar so te pomanjkljivosti dobre stvari; ne gledamo katastrofe razsežnosti srca.

Na prvi pogled se zdi, da je OpenSSL-jev svetovalni seznam vseh sedmih ranljivosti, ki so bile odpravljene v OpenSSL, strašljiv seznam. Ena od pomanjkljivosti, če je izkoriščena, bi lahko napadalcu omogočila ogled in spreminjanje prometa med odjemalcem OpenSSL in strežnikom OpenSSL v napadu človek-v sredini. Izdaja je prisotna na vseh odjemalskih različicah OpenSSL in strežnika 1.0.1 ali 1.0.2-beta1. Da bi napad uspel - in za začetek je precej zapleteno - morajo biti prisotne ranljive različice odjemalca in strežnika.

Čeprav je obseg težave zelo omejen, vas morda skrbi, da bi še naprej uporabljali programsko opremo z vključenim OpenSSL. Najprej Heartbleed. Zdaj pa napadi človek v sredini. Če se osredotočimo na dejstvo, da ima OpenSSL napake (kaj programska oprema ne?), Izpusti zelo kritično točko: popravljajo se.

Več oči, več varnosti

Dejstvo, da razvijalci razkrijejo te napake - in jih odpravijo - je pomirjujoče, saj pomeni, da imamo na izvorni kodi OpenSSL več očesnih zrkel. Več ljudi pregleduje vsako vrstico zaradi morebitnih ranljivosti. Po razkritju hrošča Heartbleed v začetku tega leta je bilo veliko ljudi presenečenih, ko so odkrili, da projekt ni imel veliko finančnih sredstev ali veliko namenskih razvijalcev kljub široki uporabi.

"To [OpenSSL] si zasluži pozornost s strani varnostne skupnosti, ki jo prejema zdaj, " je dejal Wim Remes, svetovalec za IOActive.

Konzorcij tehnoloških velikanov, kot so Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel in Cisco, je združil skupaj s fundacijo Linux, da bi oblikoval ključno pobudo za infrastrukturo (CII). Družba CII financira odprtokodne projekte za dodajanje razvijalcev s polnim delovnim časom, izvajanje revizij varnosti in izboljšanje infrastrukture za testiranje. OpenSSL je bil prvi projekt, financiran v okviru CII; Podprta sta tudi Network Time Protocol in OpenSSH.

"Skupnost se je soočila z izzivom in tako zagotovila, da OpenSSL postane boljši izdelek in da se vprašanja hitro najdejo in odpravijo, " je dejal Steve Pate, glavni arhitekt HyTrust.

Bi morali skrbeti?

Če ste sistemski skrbnik, morate posodobiti OpenSSL. Najdenih in odpravljenih bo več napak, zato morajo skrbniki paziti na popravke, da bodo programsko opremo posodobili.

Za večino potrošnikov ni treba skrbeti veliko. Da bi izkoristili napako, mora biti OpenSSL prisoten na obeh koncih komunikacije, kar pa se običajno ne zgodi pri brskanju po spletu, je povedal Ivan Ristič, inženirski direktor pri Qualys. Namizni brskalniki se ne zanašajo na OpenSSL in čeprav zalogi spletni brskalnik v napravah Android in Chrome za Android uporabljajo OpenSSL. "Pogoje, potrebne za izkoriščanje, je precej težje najti, " je dejal Ristič. Dejstvo, da izkoriščanje zahteva pozicioniranje človeka na sredini, "omejuje", je dejal.

OpenSSL se pogosto uporablja v pripomočkih ukazne vrstice in za programski dostop, zato jih morajo uporabniki posodobiti takoj. Vsako programsko aplikacijo, ki uporablja OpenSSL, je treba posodobiti takoj, ko bodo na voljo nove različice.

Posodobite programsko opremo in "pripravite se na pogoste posodobitve v prihodnosti OpenSSL-a, saj to niso zadnje napake, ki jih bomo našli v tem programskem paketu, " je opozoril Wolfgang Kandek, CTO za Qualys.

Zakaj se opensl spet zakrpi, je dobra novica