Vídeo: The Great Gildersleeve "Pranks at School" (10-19-41) (HQ) Old Time Radio Comedy (Setembre 2024)
Hi ha una nova versió d'OpenSSL i, sí, resulta que les versions anteriors del paquet de seguretat tenien algunes vulnerabilitats greus. Tanmateix, es poden trobar aquests defectes; no estem mirant un desastre de proporcions Heartbleed.
A primer cop d’ull, l’assessorament d’OpenSSL que mostra les set vulnerabilitats que s’han corregit a OpenSSL sembla ser una llista espantosa. Un dels defectes, si s’explota, podria permetre a un atacant veure i modificar el trànsit entre un client OpenSSL i el servidor OpenSSL en un atac de mà al mig. El problema està present a totes les versions del client d'OpenSSL i del servidor 1.0.1 o 1.0.2-beta1. Perquè l'atac tingui èxit –i és força complicat començar– cal que hi hagi versions vulnerables tant del client com del servidor.
Tot i que l’abast del problema és molt limitat, potser us preocupa continuar continuant utilitzant programari amb OpenSSL inclòs. Primer, Heartbleed. Ara, ataca l’home al mig. Centrant-nos en el fet que OpenSSL té errors (què no funciona el programari?), Es perd un punt molt crític: s’estan pegant.
Més ulls, més seguretat
El fet que els desenvolupadors revelin aquests errors -i s’arreglen- és tranquil·litzador, perquè significa que tenim més globus oculars al codi font d’OpenSSL. Hi ha més persones que examinen cada línia per detectar possibles vulnerabilitats. Després de la divulgació de l’error Heartbleed a principis d’aquest any, moltes persones es van sorprendre en descobrir que el projecte no tenia gaire finançament ni molts desenvolupadors dedicats malgrat el seu ús estès.
"És [OpenSSL] que mereix l'atenció de la comunitat de seguretat que està rebent ara", va dir Wim Remes, consultor de IOActive.
Un consorci de gegants tecnològics, inclosos Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel i Cisco, es van unir amb la Linux Foundation per formar la Core Infrastructure Initiative (CII). Els fons CII financen projectes de codi obert per afegir desenvolupadors a temps complet, realitzar auditories de seguretat i millorar la infraestructura de proves. OpenSSL va ser el primer projecte finançat amb CII; També s’admeten el protocol de temps de xarxa i l’OpenSSH.
"La comunitat s'ha plantejat el repte de garantir que OpenSSL es converteixi en un producte millor i que es trobin i solucionin problemes ràpidament", va dir Steve Pate, arquitecte en cap de HyTrust.
Us hauria de preocupar?
Si sou administrador del sistema, heu d’actualitzar OpenSSL. Es trobaran i s’arreglen més errors, per la qual cosa els administradors han de vigilar amb els pegats per mantenir el programari actualitzat.
Per a la majoria dels consumidors, no hi ha gaire a preocupar-se. Per tal d'explotar l'error, OpenSSL ha d'estar present als dos extrems de la comunicació i això normalment no passa a la navegació web, va dir Ivan Ristic, director d'enginyeria de Qualys. Els navegadors d'escriptori no es basen en OpenSSL i, tot i que el navegador web existent en dispositius Android i Chrome per a Android utilitzen OpenSSL. "Les condicions necessàries per a l'explotació són bastant més difícils de trobar", va dir Ristic. El fet que l'explotació requereixi un posicionament entre els homes és "limitat", va dir.
L'OpenSSL s'utilitza sovint en les utilitats de la línia de comandaments i per a l'accés programàtic, de manera que els usuaris han d'actualitzar-se immediatament. I qualsevol aplicació de programari que utilitzi OpenSSL s’hauria d’actualitzar un cop es disposin de noves versions.
Actualitzeu el programari i "prepareu-vos per a actualitzacions freqüents en el futur d'OpenSSL, ja que no són els últims errors que es trobaran en aquest paquet de programari", va advertir Wolfgang Kandek, CTO de Qualys.
