Video: DAILY VLOG BLI MED PÅ MIN MANDAG FORMIDDAG OPPSKRIFT LAPPER MIN HVERDAG (Oktober 2024)
Det er en ny versjon av OpenSSL, og ja, det viser seg at tidligere versjoner av sikkerhetspakken hadde noen alvorlige sårbarheter. Disse feilene som finnes, er imidlertid en god ting; vi ser ikke på en katastrofe med hjertekjol.
Ved første øyekast synes OpenSSL-rådgivningen som viser alle syv sårbarheter som er fikset i OpenSSL, å være en skummel liste. En av feilene, hvis utnyttet, kan tillate en angriper å se og endre trafikk mellom en OpenSSL-klient og OpenSSL-server i et man-i-midten-angrep. Problemet er tilgjengelig på alle klientversjoner av OpenSSL og server 1.0.1 eller 1.0.2-beta1. For at angrepet skal lykkes - og det er ganske komplisert til å begynne med - må sårbare versjoner av både klienten og serveren være til stede.
Selv om omfanget av problemet er veldig begrenset, er du kanskje bekymret for å fortsette å bruke programvare med OpenSSL inkludert. Først Heartbleed. Nå, mann-i-midten-angrep. Å fokusere på det faktum at OpenSSL har feil (hva programvare ikke gjør?) Savner et veldig kritisk punkt: De blir lappet.
Flere øyne, mer sikkerhet
At utviklere avslører disse feilene - og fikser dem - er betryggende, fordi det betyr at vi har flere øyeboller på OpenSSL-kildekoden. Flere studerer hver linje for potensielle sårbarheter. Etter avsløringen av Heartbleed-feilen tidligere i år, var det mange som ble overrasket over å oppdage at prosjektet ikke hadde mye finansiering eller mange dedikerte utviklere til tross for utbredt bruk.
"Det [OpenSSL] fortjener oppmerksomheten fra sikkerhetssamfunnet den mottar nå, " sa Wim Remes, administrerende konsulent for IOActive.
Et konsortium av tech-giganter, inkludert Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel og Cisco, bandet sammen med Linux Foundation for å danne Core Infrastructure Initiative (CII). CII finansierer open source-prosjekter for å legge til heltidsutviklere, gjennomføre sikkerhetsrevisjoner og forbedre testinfrastrukturen. OpenSSL var det første prosjektet som ble finansiert under CII; Network Time Protocol og OpenSSH støttes også.
"Samfunnet har løftet utfordringen for å sikre at OpenSSL blir et bedre produkt og at problemer blir funnet og løst raskt, " sier Steve Pate, sjefsarkitekt ved HyTrust.
Bør du bekymre deg?
Hvis du er systemadministrator, må du oppdatere OpenSSL. Flere feil vil bli funnet og fikset, så administratorer må følge med på oppdateringer for å holde programvaren oppdatert.
For de fleste forbrukere er det ikke mye å bekymre seg for. For å utnytte feilen, må OpenSSL være til stede i begge ender av kommunikasjonen, og det skjer vanligvis ikke ved nettlesing, sa Ivan Ristic, teknisk direktør i Qualys. Stasjonære nettlesere stoler ikke på OpenSSL, og selv om aksjen nettleser på Android-enheter og Chrome for Android begge bruker OpenSSL. "Forholdene som er nødvendige for utnyttelse, er ganske vanskeligere å finne, " sa Ristic. At utnyttelse krever posisjonering mellom mennesker er "begrensende", sa han.
OpenSSL brukes ofte i kommandolinjeverktøy og for programmatisk tilgang, så brukerne må oppdatere med en gang. Og hvilken som helst programvare de bruker som bruker OpenSSL, bør oppdateres så snart nye versjoner blir tilgjengelige.
Oppdater programvaren og "forbered deg på hyppige oppdateringer i OpenSSLs fremtid, da dette ikke er de siste feilene som blir funnet i denne programvarepakken, " advarte Wolfgang Kandek, CTO for Qualys.
