Video: ESP 5 Q1 WK1: Mapanuring Pag-iisip (Nobyembre 2024)
Mayroong isang bagong bersyon ng OpenSSL, at, oo, lumiliko ang mga nakaraang bersyon ng package ng seguridad ay nagkaroon ng ilang mga malubhang kahinaan. Gayunpaman, ang mga bahid na ito ay natagpuan ay isang mabuting bagay; hindi kami tumitingin sa isang sakuna ng Heartbleed na proporsyon.
Sa unang sulyap, ang listahan ng advisory ng OpenSSL na lahat ng pitong kahinaan na naayos sa OpenSSL ay lilitaw na isang nakakatakot na listahan. Ang isa sa mga kapintasan, kung sinasamantala, ay maaaring payagan ang isang umaatake upang makita at baguhin ang trapiko sa pagitan ng isang OpenSSL client at OpenSSL server sa isang pag-atake sa isang tao. Ang isyu ay naroroon sa lahat ng mga bersyon ng kliyente ng OpenSSL at server 1.0.1 o 1.0.2-beta1. Para magtagumpay ang pag-atake-at medyo kumplikado na magsimula sa - mahina laban sa mga kliyente at server ay kailangang naroroon.
Kahit na ang lawak ng isyu ay limitado, marahil ay nababahala ka tungkol sa patuloy na paggamit ng software kasama ang OpenSSL. Una, Puso. Ngayon, ang pag-atake ng tao. Tumutuon sa katotohanan na ang OpenSSL ay may mga bug (kung ano ang software ay hindi?) Ay napalampas ng isang napaka kritikal na punto: Pinaput ang mga ito.
Higit pang mga Mata, Karagdagang Seguridad
Ang katotohanan na isinisiwalat ng mga developer ang mga bug na ito - at ang pag-aayos ng mga ito - ay nagbibigay-katiyakan, sapagkat nangangahulugan ito na marami kaming eyeballs sa OpenSSL source code. Maraming mga tao ang sinusuri ang bawat linya para sa mga potensyal na kahinaan. Matapos ang pagsisiwalat ng Puso ng Puso sa mas maaga sa taong ito, maraming mga tao ang nagulat na natuklasan ang proyekto ay hindi magkaroon ng maraming pondo o maraming mga nakatuon na developer sa kabila ng malawakang paggamit nito.
"Ang [OpenSSL] ay nararapat na pansin mula sa komunidad ng seguridad na natatanggap nito ngayon, " sabi ni Wim Remes, namamahala ng consultant para sa IOActive.
Ang isang consortium ng mga higanteng tech, kabilang ang Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel, at Cisco, kasama ang Linux Foundation upang mabuo ang Core Infrastructure Initiative (CII). Ang pondo ng CII ay nagbubukas ng mga proyekto ng mapagkukunan upang magdagdag ng mga full-time na developer, magsagawa ng mga pag-audit ng seguridad, at pagbutihin ang mga imprastraktura sa pagsubok. Ang OpenSSL ay ang unang proyekto na pinondohan sa ilalim ng CII; Sinusuportahan din ang Network Time Protocol at OpenSSH.
"Ang komunidad ay tumaas sa hamon upang matiyak na ang OpenSSL ay nagiging isang mas mahusay na produkto at ang mga isyu ay matatagpuan at naayos nang mabilis, " sabi ni Steve Pate, punong arkitekto sa HyTrust.
Dapat kang Mag-alala?
Kung ikaw ay isang tagapangasiwa ng system, dapat mong i-update ang OpenSSL. Marami pang mga bug ang matatagpuan at maayos, kaya dapat na bantayan ng mga tagapangasiwa ang mga patch upang mapanatili ang software hanggang sa kasalukuyan.
Para sa karamihan ng mga mamimili, hindi marami ang mag-alala. Upang mapagsamantalahan ang bug, ang OpenSSL ay kailangang naroroon sa parehong mga dulo ng komunikasyon, at karaniwang hindi ito nangyayari sa pag-browse sa Web, sinabi ni Ivan Ristic, direktor ng engineering sa Qualys. Ang mga browser ng desktop ay hindi umaasa sa OpenSSL, at, kahit na ang stock Web browser sa mga aparato ng Android at Chrome para sa Android ay parehong gumagamit ng OpenSSL. "Ang mga kondisyon na kinakailangan para sa pagsasamantala ay medyo mahirap masumpungan, " sabi ni Ristic. Ang katotohanan na ang pagsasamantala ay nangangailangan ng man-in-the-middle positioning ay "naglilimita, " aniya.
Ang OpenSSL ay madalas na ginagamit sa mga utility utility at para sa programmatic na pag-access, kaya kailangang mag-update kaagad ang mga gumagamit. At ang anumang software application na ginagamit nila na gumagamit ng OpenSSL ay dapat na ma-update sa sandaling magagamit ang mga bagong bersyon.
I-update ang software at "maghanda para sa mga madalas na pag-update sa hinaharap ng OpenSSL dahil ang mga ito ay hindi ang huling mga bug na matatagpuan sa package ng software na ito, " binalaan ni Wolfgang Kandek, CTO ng Qualys.
