Video: Sådan reparerer du et hul i dit tubeless dæk. (Oktober 2024)
Der er en ny version af OpenSSL, og ja, det viser sig, at tidligere versioner af sikkerhedspakken havde nogle alvorlige sårbarheder. Imidlertid er disse mangler, der findes, en god ting; vi ser ikke på en katastrofe med hjerteforhold.
Ved første øjekast synes OpenSSL-rådgivningen, der viser alle syv sårbarheder, der er rettet i OpenSSL, at være en skræmmende liste. En af manglerne kan, hvis den udnyttes, give en angriber mulighed for at se og ændre trafik mellem en OpenSSL-klient og OpenSSL-server i et man-in-the-middle-angreb. Problemet er til stede på alle klientversioner af OpenSSL og server 1.0.1 eller 1.0.2-beta1. For at angrebet skal lykkes - og det er ret kompliceret til at begynde med - skal sårbare versioner af både klienten og serveren være til stede.
Selvom omfanget af problemet er meget begrænset, er du måske bekymret over at fortsætte med at bruge software med OpenSSL inkluderet. Først Heartbleed. Nu, mand-i-midten angreb. Fokus på det faktum, at OpenSSL har fejl (hvad software ikke gør?) Går glip af et meget kritisk punkt: De bliver lappet.
Flere øjne, mere sikkerhed
Det faktum, at udviklere afslører disse fejl - og fikser dem - er betryggende, fordi det betyder, at vi har flere øjenvægge på OpenSSL-kildekoden. Flere mennesker undersøger hver linje for potentielle sårbarheder. Efter afsløringen af Heartbleed-bug tidligere i år blev mange mennesker overrasket over at opdage, at projektet ikke havde meget finansiering eller mange dedikerede udviklere på trods af dets udbredte anvendelse.
"Det [OpenSSL] fortjener opmærksomheden fra det sikkerhedssamfund, det modtager nu, " sagde Wim Remes, administrerende konsulent for IOActive.
Et konsortium af tech-giganter, herunder Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel og Cisco, blev bundet sammen med Linux Foundation for at danne Core Infrastructure Initiative (CII). CII finansierer open source-projekter for at tilføje heltidsudviklere, udføre sikkerhedsrevisioner og forbedre testinfrastrukturen. OpenSSL var det første projekt, der blev finansieret under CII; Network Time Protocol og OpenSSH understøttes også.
"Samfundet er steget til udfordringen for at sikre, at OpenSSL bliver et bedre produkt, og at problemer bliver fundet og løst hurtigt, " sagde Steve Pate, chefarkitekt hos HyTrust.
Bør du bekymre dig?
Hvis du er en systemadministrator, skal du opdatere OpenSSL. Flere bugs vil blive fundet og rettet, så administratorer skal holde øje med patches for at holde softwaren opdateret.
For de fleste forbrugere er der ikke meget at bekymre sig om. For at udnytte fejlen skal OpenSSL være til stede i begge ender af kommunikationen, og det sker typisk ikke ved webbrowsing, sagde Ivan Ristic, teknikdirektør i Qualys. Skrivebordsbrowsere er ikke afhængige af OpenSSL, og selv om lagerets webbrowser på Android-enheder og Chrome til Android begge bruger OpenSSL. "De nødvendige betingelser for udnyttelse er ret sværere at finde, " sagde Ristic. At udnyttelse kræver positionering mellem mennesker er "begrænsende", sagde han.
OpenSSL bruges ofte i kommandolinjefunktioner og til programmatisk adgang, så brugere er nødt til at opdatere med det samme. Og ethvert softwareprogram, de bruger, der bruger OpenSSL, skal opdateres, så snart nye versioner bliver tilgængelige.
Opdater softwaren og "forbered dig på hyppige opdateringer i OpenSSL's fremtid, da dette ikke er de sidste bugs, der findes i denne softwarepakke, " advarede Wolfgang Kandek, CTO for Qualys.
