Защо отново се закърпва opensl е добра новина

Има нова версия на OpenSSL и, да, оказва се, че предишните версии на защитния пакет са имали някои сериозни уязвими места. Обаче тези недостатъци са добро нещо; не гледаме на бедствие от пропорции на Heartbleed.

На пръв поглед съветникът OpenSSL, изброяващ всичките седем уязвимости, които са били фиксирани в OpenSSL, изглежда страшен списък. Един от недостатъците, ако се използва, може да позволи на атакуващ да види и модифицира трафик между OpenSSL клиент и OpenSSL сървър при атака на човек в средата. Проблемът присъства във всички клиентски версии на OpenSSL и сървър 1.0.1 или 1.0.2-beta1. За да успее атаката - и е доста сложно да се започне с - трябва да присъстват уязвими версии както на клиента, така и на сървъра.

Въпреки че обхватът на проблема е много ограничен, може би сте загрижени да продължите да използвате софтуер с включен OpenSSL. Първо, Heartbleed. Сега атаките на човек в средата. Ако се съсредоточи върху факта, че OpenSSL има грешки (какъв софтуер не е?), Пропуска много критична точка: те се лепят.

Повече очи, повече сигурност

Фактът, че разработчиците разкриват тези грешки - и ги поправят - е успокояващ, защото това означава, че имаме повече очни топки на изходния код на OpenSSL. Повече хора проучват всеки ред за потенциални уязвимости. След разкриването на грешката Heartbleed по-рано тази година, много хора бяха изненадани да открият, че проектът няма много финансиране или много специализирани разработчици, въпреки широкото му използване.

„Това [OpenSSL] заслужава вниманието от страна на общността за сигурност, която получава сега“, казва Уим Ремес, управляващ консултант за IOActive.

Консорциум от технологични гиганти, включително Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel и Cisco, се обединява заедно с Linux Foundation за формиране на Core Infrastructure Initiative (CII). CII финансира проекти с отворен код за добавяне на разработчици на пълен работен ден, провеждане на одити за сигурност и подобряване на тестовата инфраструктура. OpenSSL беше първият проект, финансиран по CII; Поддържат се и протокол за мрежово време и OpenSSH.

„Общността се изправи пред предизвикателството да гарантира, че OpenSSL се превръща в по-добър продукт и проблемите се намират и решават бързо“, заяви Стив Пайт, главен архитект в HyTrust.

Трябва ли да се притеснявате?

Ако сте системен администратор, трябва да актуализирате OpenSSL. Ще бъдат намерени и отстранени повече грешки, така че администраторите трябва да внимават за пачове, за да поддържат актуализиран софтуера.

За повечето потребители няма какво да се притеснявате. За да се използва грешката, OpenSSL трябва да присъства и в двата края на комуникацията, а това обикновено не се случва при сърфиране в уеб, каза Иван Ристич, директор по инженерно обслужване в Qualys. Браузърите за настолни компютри не разчитат на OpenSSL и въпреки, че уеб браузърът в наличност на устройства с Android и Chrome за Android използва OpenSSL. "Условията, необходими за експлоатация, са доста трудни за намиране", каза Ристик. Фактът, че експлоатацията изисква позициониране на човек в средата, е "ограничаващо", каза той.

OpenSSL често се използва в комунални програми и за програмен достъп, така че потребителите трябва да актуализират веднага. И всяко софтуерно приложение, което използват, което използва OpenSSL, трябва да се актуализира веднага щом станат достъпни нови версии.

Актуализирайте софтуера и „подгответе се за чести актуализации в бъдещето на OpenSSL, тъй като това не са последните грешки, които ще бъдат намерени в този софтуерен пакет“, предупреди Волфганг Кандек, CTO на Qualys.