Video: Cantati o veste buna Cor de Copii Bs.Emanuel (Noiembrie 2024)
Există o nouă versiune a OpenSSL și, da, se pare că versiunile anterioare ale pachetului de securitate aveau unele vulnerabilități grave. Cu toate acestea, găsirea acestor defecte este un lucru bun; nu ne uităm la un dezastru de proporții Heartbleed.
La prima vedere, avizul OpenSSL care prezintă toate cele șapte vulnerabilități care au fost remediate în OpenSSL pare a fi o listă înfricoșătoare. Unul dintre defectele, dacă este exploatat, ar putea permite unui atacator să vadă și să modifice traficul între un client OpenSSL și serverul OpenSSL într-un atac om-în-mijloc. Problema este prezentă pe toate versiunile client ale OpenSSL și serverul 1.0.1 sau 1.0.2-beta1. Pentru ca atacul să aibă succes - și este destul de complicat să începem - trebuie să fie prezente versiuni vulnerabile atât ale clientului cât și ale serverului.
Chiar dacă amploarea problemei este foarte limitată, este posibil să vă preocupați să continuați să utilizați software cu OpenSSL inclus. În primul rând, Heartbleed. Acum, atacurile omului în mijloc. Concentrându-se pe faptul că OpenSSL are bug-uri (ceea ce software-ul nu?) Lipsește un punct foarte critic: sunt plasate în patch-uri.
Mai mulți ochi, mai multă securitate
Faptul că dezvoltatorii dezvăluie aceste erori - și le rezolvă - este liniștitor, deoarece înseamnă că avem mai multe globuri oculare pe codul sursă OpenSSL. Mai multe persoane examinează fiecare linie pentru vulnerabilitățile potențiale. După dezvăluirea bug-ului Heartbleed la începutul acestui an, mulți oameni au fost surprinși să descopere că proiectul nu a avut prea multe finanțări sau mulți dezvoltatori dedicați, în ciuda utilizării sale pe scară largă.
"[OpenSSL] merită atenția din partea comunității de securitate pe care o primește acum", a spus Wim Remes, consultant manager pentru IOActive.
Un consorțiu de giganți tehnologici, inclusiv Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel și Cisco, s-au format împreună cu fundația Linux pentru a forma inițiativa de infrastructură de bază (CII). CII finanțează proiecte open source pentru a adăuga dezvoltatori cu normă întreagă, a efectua audituri de securitate și a îmbunătăți infrastructura de testare. OpenSSL a fost primul proiect finanțat în cadrul CII; Protocolul pentru ora rețelei și OpenSSH sunt de asemenea acceptate.
„Comunitatea a ajuns la provocarea de a se asigura că OpenSSL devine un produs mai bun și că problemele sunt găsite și rezolvate rapid”, a declarat Steve Pate, arhitect șef la HyTrust.
Ar trebui să vă faceți griji?
Dacă sunteți administrator de sistem, trebuie să actualizați OpenSSL. Mai multe bug-uri vor fi găsite și remediate, astfel încât administratorii trebuie să fie atenți la patch-uri pentru a menține software-ul la zi.
Pentru majoritatea consumatorilor, nu este foarte mult să vă faceți griji. Pentru a exploata eroarea, OpenSSL trebuie să fie prezent la ambele capete ale comunicării, iar acest lucru nu se întâmplă de obicei în navigarea Web, a declarat Ivan Ristic, directorul ingineriei la Qualys. Browser-urile desktop nu se bazează pe OpenSSL și, deși browser-ul Web stoc pe dispozitivele Android și Chrome pentru Android, ambele folosesc OpenSSL. "Condițiile necesare pentru exploatare sunt destul de greu de găsit", a spus Ristic. Faptul că exploatarea necesită poziționarea omului în mijloc este „limitat”, a spus el.
OpenSSL este adesea folosit în utilitățile liniei de comandă și pentru acces programatic, astfel încât utilizatorii trebuie să se actualizeze imediat. Și orice aplicație software pe care o utilizează care utilizează OpenSSL ar trebui actualizată imediat ce versiunile noi devin disponibile.
Actualizați software-ul și „pregătiți-vă pentru actualizări frecvente în viitorul OpenSSL, deoarece acestea nu sunt ultimele bug-uri care vor fi găsite în acest pachet software”, a avertizat Wolfgang Kandek, CTO of Qualys.