Video: Tiedekulma Live | Koronan jäljet koulussa (Lokakuu 2024)
OpenSSL: stä on uusi versio, ja kyllä, osoittautuu, että aiemmissa tietoturvapaketin versioissa oli vakavia haavoittuvuuksia. Nämä puutteet on kuitenkin hyvä asia; emme tarkastele sydämenlyöntiä mittaavaa katastrofia.
Ensi silmäyksellä OpenSSL-neuvoja, joissa luetellaan kaikki seitsemän OpenSSL: ssä korjattua haavoittuvuutta, näyttää olevan pelottava luettelo. Yksi virheistä, jos sitä hyödynnetään, voi antaa hyökkääjälle nähdä ja muokata liikennettä OpenSSL-asiakkaan ja OpenSSL-palvelimen välillä keskitie-hyökkäyksessä. Aihe on olemassa kaikissa OpenSSL: n ja palvelimen 1.0.1 tai 1.0.2-beeta1 asiakasversioissa. Jotta hyökkäys onnistuu - ja aluksi on melko monimutkaista - sekä asiakkaan että palvelimen haavoittuvien versioiden on oltava läsnä.
Vaikka ongelman laajuus on hyvin rajallinen, olet ehkä huolissasi ohjelmistojen käytön jatkamisesta OpenSSL: n mukana. Ensinnäkin, sydämen syke. Nyt ihmisten keskellä hyökkäykset. Kun keskitytään siihen, että OpenSSL: ssä on virheitä (mitä ohjelmistoja ei ole?), Puuttuu erittäin kriittinen kohta: Ne korjataan.
Lisää silmiä, enemmän turvallisuutta
Se, että kehittäjät paljastavat nämä virheet ja korjaavat ne, on rauhoittava, koska se tarkoittaa, että OpenSSL-lähdekoodissa on enemmän silmämunkia. Yhä useammat ihmiset tutkivat jokaista linjaa mahdollisten haavoittuvuuksien varalta. Sen jälkeen, kun Heartbleed-vika paljastettiin aiemmin tänä vuonna, monet ihmiset olivat yllättyneitä huomatessaan, että projektilla ei ollut paljon rahoitusta tai monilla omistautuneilla kehittäjillä sen laaja-alaisesta käytöstä huolimatta.
"Se [OpenSSL] ansaitsee nyt vastaanottavansa turvallisuusyhteisön huomion", sanoi IOActiven toimitusjohtaja Wim Remes.
Teknologia jättiläisten konsortio, mukaan lukien Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel ja Cisco, muodostui yhdessä Linux-säätiön kanssa perustamaan perusinfrastruktuurin aloite (CII). CII rahoittaa avoimen lähdekoodin projekteja lisätäkseen kokopäiväisiä kehittäjiä, suorittamaan tietoturva-auditointeja ja parantamaan testausinfrastruktuuria. OpenSSL oli ensimmäinen CII-ohjelmasta rahoitettu hanke; Verkon aikaprotokollaa ja OpenSSH: ta tuetaan myös.
"Yhteisö on vastannut haasteeseen varmistaa, että OpenSSL: stä tulee parempi tuote ja että ongelmat löydetään ja korjataan nopeasti", sanoi HyTrustin pääarkkitehti Steve Pate.
Pitäisikö sinun huolehtia?
Jos olet järjestelmänvalvoja, sinun on päivitettävä OpenSSL. Lisää virheitä löytyy ja korjataan, joten järjestelmänvalvojien on pidettävä silmällä korjauksia, jotta ohjelmisto pysyy ajan tasalla.
Useimmille kuluttajille ei ole paljon syytä huoleen. Vian hyödyntämiseksi OpenSSL: n on oltava läsnä viestinnän molemmissa päissä, ja sitä ei yleensä tapahdu web-selailussa, sanoi Qualysin suunnittelupäällikkö Ivan Ristic. Pöytiselaimet eivät luota OpenSSL: ään, ja vaikka Android-laitteiden ja Android-laitteiden Chrome-selain käyttävätkin OpenSSL: ää. "Hyödyntämiseen tarvittavat olosuhteet ovat melko vaikeampia löytää", Ristic sanoi. Se, että hyväksikäyttö vaatii ihmisen asettamista keskelle, on "rajoittava", hän sanoi.
OpenSSL: ää käytetään usein komentorivin apuohjelmissa ja ohjelmallisessa pääsyssä, joten käyttäjien on päivitettävä heti. Ja kaikki heidän käyttämänsä OpenSSL: ää hyödyntävät sovellukset tulisi päivittää heti, kun uudet versiot tulevat saataville.
Päivitä ohjelmisto ja "varaudu usein päivityksiin OpenSSL: n tulevaisuudessa, koska nämä eivät ole viimeisiä virheitä, jotka löytyvät tästä ohjelmistopaketista", varoitti Qualysin tekninen johtaja Wolfgang Kandek.
