Trang Chủ Đồng hồ an ninh Tại sao openssl được vá lại là tin tốt

Tại sao openssl được vá lại là tin tốt

Video: ĐỘ TA KHÔNG ĐỘ NÀNG | MV 4K - Nhạc Hoa Lời Việt | Thiên An (Tháng mười một 2024)

Video: ĐỘ TA KHÔNG ĐỘ NÀNG | MV 4K - Nhạc Hoa Lời Việt | Thiên An (Tháng mười một 2024)
Anonim

Có một phiên bản mới của OpenSSL, và, vâng, hóa ra các phiên bản trước của gói bảo mật có một số lỗ hổng nghiêm trọng. Tuy nhiên, những sai sót được tìm thấy là một điều tốt; chúng ta không nhìn vào một thảm họa của tỷ lệ Heartbleed.

Thoạt nhìn, tư vấn OpenSSL liệt kê tất cả bảy lỗ hổng đã được sửa trong OpenSSL dường như là một danh sách đáng sợ. Một trong những lỗ hổng, nếu bị khai thác, có thể cho phép kẻ tấn công nhìn thấy và sửa đổi lưu lượng giữa máy khách OpenSSL và máy chủ OpenSSL trong một cuộc tấn công trung gian. Vấn đề này hiện diện trên tất cả các phiên bản máy khách của OpenSSL và máy chủ 1.0.1 hoặc 1.0.2-beta1. Để cuộc tấn công thành công với nhau và việc bắt đầu với các phiên bản dễ bị tấn công của cả máy khách và máy chủ cũng khá phức tạp.

Mặc dù phạm vi của vấn đề rất hạn chế, có lẽ bạn lo ngại về việc tiếp tục sử dụng phần mềm có OpenSSL đi kèm. Đầu tiên, Heartbleed. Bây giờ, người đàn ông ở giữa tấn công. Tập trung vào thực tế là OpenSSL có lỗi (phần mềm nào không?) Bỏ lỡ một điểm rất quan trọng: Chúng đang được vá.

Nhiều mắt hơn, an ninh hơn

Thực tế là các nhà phát triển đang tiết lộ những lỗi này, và sửa chúng là rất yên tâm, bởi vì điều đó có nghĩa là chúng tôi có nhiều nhãn cầu hơn về mã nguồn OpenSSL. Nhiều người đang xem xét kỹ lưỡng từng dòng cho các lỗ hổng tiềm năng. Sau khi tiết lộ lỗi Heartbleed hồi đầu năm nay, nhiều người đã ngạc nhiên khi phát hiện ra dự án không có nhiều tài trợ hoặc nhiều nhà phát triển chuyên dụng mặc dù được sử dụng rộng rãi.

"Nó [OpenSSL] xứng đáng nhận được sự chú ý từ cộng đồng bảo mật mà nó hiện đang nhận được", Wim Remes, cố vấn quản lý của IOActive cho biết.

Một tập đoàn gồm những gã khổng lồ công nghệ, bao gồm Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel và Cisco, đã hợp tác với Tổ chức Linux để thành lập Sáng kiến ​​cơ sở hạ tầng cốt lõi (CII). CII tài trợ cho các dự án nguồn mở để thêm các nhà phát triển toàn thời gian, thực hiện kiểm toán bảo mật và cải thiện cơ sở hạ tầng thử nghiệm. OpenSSL là dự án đầu tiên được tài trợ theo CII; Giao thức thời gian mạng và OpenSSH cũng đang được hỗ trợ.

"Cộng đồng đã tăng thách thức để đảm bảo rằng OpenSSL trở thành một sản phẩm tốt hơn và các vấn đề được tìm thấy và khắc phục nhanh chóng", Steve Pate, kiến ​​trúc sư trưởng tại HyTrust nói.

Bạn có nên lo lắng?

Nếu bạn là quản trị viên hệ thống, bạn phải cập nhật OpenSSL. Nhiều lỗi sẽ được tìm thấy và sửa chữa, vì vậy các quản trị viên phải theo dõi các bản vá để giữ cho phần mềm được cập nhật.

Đối với hầu hết người tiêu dùng, không có nhiều điều phải lo lắng. Để khai thác lỗi, OpenSSL cần phải có mặt ở cả hai đầu của giao tiếp và điều đó thường không xảy ra trong trình duyệt Web, Ivan Ristic, giám đốc kỹ thuật của Qualys nói. Các trình duyệt máy tính để bàn không dựa vào OpenSSL và mặc dù trình duyệt Web chứng khoán trên thiết bị Android và Chrome cho Android đều sử dụng OpenSSL. "Các điều kiện cần thiết để khai thác khá khó tìm hơn một chút, " Ristic nói. Thực tế là việc khai thác đòi hỏi định vị trung gian là "hạn chế", ông nói.

OpenSSL thường được sử dụng trong các tiện ích dòng lệnh và để truy cập theo chương trình, vì vậy người dùng cần cập nhật ngay. Và bất kỳ ứng dụng phần mềm nào họ sử dụng sử dụng OpenSSL nên được cập nhật ngay khi có phiên bản mới.

Cập nhật phần mềm và "chuẩn bị cập nhật thường xuyên trong tương lai của OpenSSL vì đây không phải là những lỗi cuối cùng sẽ được tìm thấy trong gói phần mềm này", Wolfgang Kandek, CTO của Qualys cảnh báo.

Tại sao openssl được vá lại là tin tốt