Будинки Securitywatch Чому Opensl знову латують - це хороша новина

Чому Opensl знову латують - це хороша новина

Відео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Листопад 2024)

Відео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Листопад 2024)
Anonim

Існує нова версія OpenSSL, і, так, виявляється, попередні версії пакета безпеки мали деякі серйозні вразливості. Однак виявлені недоліки - це добре; ми не дивимося на катастрофу розмірів Heartbleed.

На перший погляд, рекомендаційний документ OpenSSL, у якому перераховані всі сім вразливості, які були виправлені в OpenSSL, видається страшним списком. Один з недоліків, якщо він використовується, може дозволити зловмиснику бачити та змінювати трафік між клієнтом OpenSSL та сервером OpenSSL під час атаки "людина в середині". Випуск присутній на всіх клієнтських версіях OpenSSL та сервері 1.0.1 або 1.0.2-beta1. Щоб атака була успішною - і це досить складно для початку - повинні бути присутні вразливі версії як клієнта, так і сервера.

Незважаючи на те, що масштаб проблеми дуже обмежений, можливо, ви стурбовані тим, що надалі використовувати програмне забезпечення з включеним OpenSSL. По-перше, Heartbleed. Тепер атаки людиною в середині. Якщо зосередити увагу на тому, що у OpenSSL є помилки (яке програмне забезпечення не?), Не вистачає дуже критичного моменту: вони виправляються.

Більше очей, більше безпеки

Те, що розробники розкривають ці помилки - і виправляють їх - заспокоює, оскільки це означає, що у вихідного коду OpenSSL у нас є більше очних яблук. Більше людей ретельно вивчають кожен рядок, щоб виявити потенційні вразливості. Після розкриття помилки Heartbleed на початку цього року багато людей були здивовані, виявивши, що проект не мав великого фінансування або багато відданих розробників, незважаючи на його широке використання.

"Це [OpenSSL] заслуговує уваги з боку спільноти безпеки, яку воно отримує зараз", - сказав Вім Ремес, керуючий консультант IOActive.

Консорціум технічних гігантів, включаючи Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel та Cisco, об'єднався разом із Linux Foundation для формування основної ініціативи інфраструктури (CII). ІСІ фінансує проекти з відкритим кодом для додавання розробників, що працюють на повний робочий день, проведення аудиту безпеки та покращення інфраструктури тестування. OpenSSL був першим проектом, що фінансувався в рамках ІСІ; Підтримуються також мережевий протокол часу та OpenSSH.

"Громада постала перед викликом - забезпечити, щоб OpenSSL став кращим продуктом, а проблеми швидко і швидко були вирішені", - сказав Стів Пейт, головний архітектор HyTrust.

Чи варто хвилюватися?

Якщо ви системний адміністратор, ви повинні оновити OpenSSL. Буде знайдено та виправлено більше помилок, тому адміністратори повинні стежити за виправленнями, щоб оновити програмне забезпечення.

Для більшості споживачів турбуватися не надто багато. Для того, щоб використовувати помилку, OpenSSL повинен бути присутнім на обох кінцях комунікацій, а це зазвичай не відбувається при веб-перегляді веб-сторінок, - сказав Іван Ристік, директор з інженерії Qualys. Настільні браузери не покладаються на OpenSSL, і, незважаючи на те, що веб-браузер на Android-пристроях та Chrome для Android використовує OpenSSL. "Умови, необхідні для експлуатації, знайти досить важче", - сказав Рістік. Той факт, що експлуатація вимагає позиціонування людини в середині, "обмежує", - сказав він.

OpenSSL часто використовується в утилітах командного рядка та для програмного доступу, тому користувачам потрібно оновлюватись відразу. І будь-яке програмне забезпечення, яке вони використовують, що використовує OpenSSL, повинно бути оновлено, як тільки з’являться нові версії.

Оновіть програмне забезпечення та "готуйтеся до частих оновлень у майбутньому OpenSSL, оскільки це не останні помилки, які знайдуться в цьому програмному пакеті", - попередив Волфганг Кандек, CTO компанії Qualys.

Чому Opensl знову латують - це хороша новина