Casa Securitywatch Perché openssl è stato riparato di nuovo è una buona notizia

Perché openssl è stato riparato di nuovo è una buona notizia

Video: Come sbloccare i file criptati da un ransomware (Novembre 2024)

Video: Come sbloccare i file criptati da un ransomware (Novembre 2024)
Anonim

Esiste una nuova versione di OpenSSL e, sì, risulta che le versioni precedenti del pacchetto di sicurezza presentavano alcune gravi vulnerabilità. Tuttavia, questi difetti riscontrati sono positivi; non stiamo osservando un disastro di proporzioni Heartbleed.

A prima vista, la consulenza di OpenSSL che elenca tutte e sette le vulnerabilità che sono state risolte in OpenSSL sembra essere un elenco spaventoso. Uno dei difetti, se sfruttato, potrebbe consentire a un utente malintenzionato di vedere e modificare il traffico tra un client OpenSSL e il server OpenSSL in un attacco man-in-the-middle. Il problema è presente su tutte le versioni client di OpenSSL e server 1.0.1 o 1.0.2-beta1. Perché l'attacco abbia successo - ed è abbastanza complicato per cominciare - devono essere presenti versioni vulnerabili sia del client che del server.

Anche se l'entità del problema è molto limitata, forse sei preoccupato di continuare a utilizzare il software con OpenSSL incluso. Innanzitutto, Heartbleed. Ora, attacchi man-in-the-middle. Concentrarsi sul fatto che OpenSSL ha dei bug (quale software non ha?) Manca un punto molto critico: vengono corretti.

Più occhi, più sicurezza

Il fatto che gli sviluppatori rivelino questi bug e li risolvano è rassicurante, perché significa che abbiamo più occhi sul codice sorgente OpenSSL. Sempre più persone stanno esaminando ogni linea per potenziali vulnerabilità. Dopo la divulgazione del bug Heartbleed all'inizio di quest'anno, molte persone sono state sorprese nello scoprire che il progetto non aveva molti finanziamenti o molti sviluppatori dedicati nonostante il suo uso diffuso.

"[OpenSSL] merita l'attenzione della comunità di sicurezza che sta ricevendo ora", ha affermato Wim Remes, consulente di gestione di IOActive.

Un consorzio di giganti della tecnologia, tra cui Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel e Cisco, si è unito alla Linux Foundation per formare la Core Infrastructure Initiative (CII). CII finanzia progetti open source per aggiungere sviluppatori a tempo pieno, condurre audit di sicurezza e migliorare l'infrastruttura di test. OpenSSL è stato il primo progetto finanziato sotto CII; Sono supportati anche Network Time Protocol e OpenSSH.

"La community ha raccolto la sfida di garantire che OpenSSL diventi un prodotto migliore e che i problemi vengano individuati e risolti rapidamente", ha affermato Steve Pate, capo architetto di HyTrust.

Dovresti preoccuparti?

Se sei un amministratore di sistema, devi aggiornare OpenSSL. Ulteriori bug verranno individuati e corretti, quindi gli amministratori devono tenere d'occhio le patch per mantenere aggiornato il software.

Per la maggior parte dei consumatori, non c'è molto di cui preoccuparsi. Per sfruttare il bug, OpenSSL deve essere presente ad entrambe le estremità della comunicazione, e ciò in genere non accade nella navigazione Web, ha affermato Ivan Ristic, direttore dell'ingegneria di Qualys. I browser desktop non si basano su OpenSSL e, anche se il browser Web stock su dispositivi Android e Chrome per Android utilizzano entrambi OpenSSL. "Le condizioni necessarie per lo sfruttamento sono un po 'più difficili da trovare", ha detto Ristic. Il fatto che lo sfruttamento richieda un posizionamento man-in-the-middle è "limitante", ha detto.

OpenSSL viene spesso utilizzato nelle utility della riga di comando e per l'accesso programmatico, quindi gli utenti devono aggiornarsi immediatamente. E qualsiasi applicazione software che usano che utilizza OpenSSL dovrebbe essere aggiornata non appena saranno disponibili nuove versioni.

Aggiorna il software e "prepara gli aggiornamenti frequenti nel futuro di OpenSSL in quanto questi non sono gli ultimi bug che saranno trovati in questo pacchetto software", ha avvertito Wolfgang Kandek, CTO di Qualys.

Perché openssl è stato riparato di nuovo è una buona notizia