Video: Big Stan (Full HD BluRay) FULL Movie || Rob Schneider, David Carradine, Jennifer Morrison (September 2024)
Det finns en ny version av OpenSSL, och ja, det visar sig att tidigare versioner av säkerhetspaketet hade några allvarliga sårbarheter. Men dessa brister som finns finns är bra; vi ser inte på en katastrof med hjärtslag.
Vid första anblicken verkar den rådgivande OpenSSL som listar alla sju sårbarheter som har fixats i OpenSSL vara en skrämmande lista. En av bristerna, om den utnyttjas, kan tillåta en angripare att se och ändra trafik mellan en OpenSSL-klient och OpenSSL-server i en man-i-mitt-attack. Problemet finns i alla klientversioner av OpenSSL och server 1.0.1 eller 1.0.2-beta1. För att attacken ska lyckas - och det är ganska komplicerat till en början - måste sårbara versioner av både klient och server vara närvarande.
Även om frågan är mycket begränsad är du kanske bekymrad över att fortsätta använda programvara med OpenSSL ingår. Först Heartbleed. Nu attackerar man-i-mitten. Att fokusera på det faktum att OpenSSL har buggar (vilken programvara gör det inte?) Missar en mycket kritisk punkt: De lappas.
Fler ögon, mer säkerhet
Det faktum att utvecklare avslöjar dessa buggar - och fixar dem - är lugnande, eftersom det betyder att vi har fler ögongulor i OpenSSL-källkoden. Fler människor granskar varje rad för potentiella sårbarheter. Efter avslöjandet av Heartbleed-buggen tidigare i år blev många förvånade över att upptäcka att projektet inte hade mycket finansiering eller många dedikerade utvecklare trots dess utbredda användning.
"Det [OpenSSL] förtjänar uppmärksamhet från säkerhetsgemenskapen som den får nu", säger Wim Remes, chefskonsult för IOActive.
Ett konsortium av tekniska jättar, inklusive Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel och Cisco, bandade tillsammans med Linux Foundation för att bilda Core Infrastructure Initiative (CII). CII finansierar open source-projekt för att lägga till heltidsutvecklare, utföra säkerhetsrevisioner och förbättra testinfrastrukturen. OpenSSL var det första projektet som finansierades under CII; Network Time Protocol och OpenSSH stöds också.
"Gemenskapen har stått till utmaningen att se till att OpenSSL blir en bättre produkt och att problem hittas och åtgärdas snabbt", säger Steve Pate, chefarkitekt på HyTrust.
Bör du oroa dig?
Om du är systemadministratör måste du uppdatera OpenSSL. Fler buggar kommer att hittas och fixas, så administratörer måste hålla ett öga på patchar för att hålla programvaran uppdaterad.
För de flesta konsumenter är det inte mycket att oroa sig för. För att kunna utnyttja felet måste OpenSSL vara närvarande i båda ändarna av kommunikationen, och det händer vanligtvis inte vid webbsökning, säger Ivan Ristic, teknikdirektör på Qualys. Desktop-webbläsare förlitar sig inte på OpenSSL, och även om lager webbläsaren på Android-enheter och Chrome för Android båda använder OpenSSL. "Förutsättningarna för exploatering är ganska svårare att hitta, " sade Ristic. Det faktum att utnyttjande kräver positionering mellan människor är "begränsande", sade han.
OpenSSL används ofta i kommandoradsverktyg och för programmatisk åtkomst, så användare måste uppdatera direkt. Och alla program som de använder som använder OpenSSL bör uppdateras så snart nya versioner blir tillgängliga.
Uppdatera programvaran och "förbered dig för ofta uppdateringar i OpenSSL: s framtid eftersom det inte är de sista buggarna som kommer att hittas i detta programvarupaket", varnade Wolfgang Kandek, CTO för Qualys.
