Почему openssl исправляется снова - это хорошая новость

Существует новая версия OpenSSL, и, да, оказывается, что предыдущие версии пакета безопасности имели некоторые серьезные уязвимости. Тем не менее, обнаруженные недостатки - это хорошо; мы не смотрим на катастрофу масштабов Heartbleed.

На первый взгляд, рекомендация OpenSSL, в которой перечислены все семь уязвимостей, которые были исправлены в OpenSSL, выглядит пугающим списком. Один из недостатков, если он эксплуатируется, может позволить злоумышленнику увидеть и изменить трафик между клиентом OpenSSL и сервером OpenSSL при атаке «человек посередине». Эта проблема присутствует во всех клиентских версиях OpenSSL и сервера 1.0.1 или 1.0.2-бета1. Чтобы атака была успешной - и это довольно сложно для начала - должны присутствовать уязвимые версии клиента и сервера.

Несмотря на то, что масштабы проблемы очень ограничены, возможно, вы обеспокоены тем, что продолжаете использовать программное обеспечение с включенным OpenSSL. Во-первых, Heartbleed. Теперь нападения "человек посередине". Сосредоточение внимания на том факте, что в OpenSSL есть ошибки (чего нет в программном обеспечении?), Упускает очень важный момент: они исправляются.

Больше глаз, больше безопасности

Тот факт, что разработчики раскрывают эти ошибки - и исправляют их, - обнадеживает, потому что это означает, что у нас больше глаз на исходный код OpenSSL. Все больше людей изучают каждую строку на предмет потенциальных уязвимостей. После того, как в начале этого года было раскрыто сообщение об ошибке Heartbleed, многие были удивлены, обнаружив, что у проекта не было большого финансирования или целых разработчиков, несмотря на его широкое использование.

«Это [OpenSSL] заслуживает внимания со стороны сообщества безопасности, которое оно получает сейчас», - сказал Вим Ремес, управляющий консультант IOActive.

Консорциум технических гигантов, в том числе Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel и Cisco, объединился с Linux Foundation для формирования Инициативы по базовой инфраструктуре (CII). CII финансирует проекты с открытым исходным кодом для добавления разработчиков на полный рабочий день, проведения аудитов безопасности и улучшения инфраструктуры тестирования. OpenSSL был первым проектом, финансируемым в рамках CII; Протокол сетевого времени и OpenSSH также поддерживаются.

«Сообщество взяло на себя задачу обеспечить, чтобы OpenSSL стал лучшим продуктом и чтобы проблемы быстро обнаруживались и решались», - сказал Стив Пэйт, главный архитектор HyTrust.

Стоит ли беспокоиться?

Если вы системный администратор, вы должны обновить OpenSSL. Будут обнаружены и исправлены другие ошибки, поэтому администраторы должны следить за исправлениями, чтобы поддерживать программное обеспечение в актуальном состоянии.

Большинству потребителей не о чем беспокоиться. Чтобы использовать эту ошибку, OpenSSL должен присутствовать на обоих концах взаимодействия, а этого обычно не происходит при просмотре веб-страниц, сказал Иван Ристик, директор по инженерному обеспечению Qualys. Браузеры для настольных компьютеров не используют OpenSSL, и хотя стандартный веб-браузер на устройствах Android и Chrome для Android используют OpenSSL. «Условия, необходимые для эксплуатации, найти довольно сложно», - сказал Ристич. По его словам, тот факт, что эксплуатация требует позиционирования человека посередине, является «ограничивающим».

OpenSSL часто используется в утилитах командной строки и для программного доступа, поэтому пользователям необходимо обновлять сразу. И любое используемое ими программное обеспечение, использующее OpenSSL, должно быть обновлено, как только появятся новые версии.

Обновляйте программное обеспечение и «готовьтесь к частым обновлениям в будущем OpenSSL, поскольку это не последние ошибки, которые будут обнаружены в этом программном пакете», предупредил Вольфганг Кандек, технический директор Qualys.