ทำไม openssl ที่ถูกแก้ไขอีกครั้งเป็นข่าวดี

มีรุ่นใหม่ของ OpenSSL และใช่มันเปิดออกรุ่นก่อนหน้าของแพคเกจความปลอดภัยมีช่องโหว่ร้ายแรงบางอย่าง อย่างไรก็ตามข้อบกพร่องที่พบเหล่านี้เป็นสิ่งที่ดี เราไม่ได้มองหายนะของสัดส่วน Heartbleed

เมื่อดูอย่างรวดเร็วครั้งแรกคำแนะนำของ OpenSSL จะแสดงรายการช่องโหว่ทั้งเจ็ดที่ได้รับการแก้ไขใน OpenSSL ดูเหมือนจะเป็นรายการที่น่ากลัว หนึ่งในข้อบกพร่องหากถูกโจมตีจะทำให้ผู้โจมตีเห็นและแก้ไขทราฟฟิกระหว่างไคลเอนต์ OpenSSL และเซิร์ฟเวอร์ OpenSSL ในการโจมตีแบบ Man-in-the-middle ปัญหานี้มีอยู่ในไคลเอนต์ทุกรุ่นของ OpenSSL และเซิร์ฟเวอร์ 1.0.1 หรือ 1.0.2-beta1 สำหรับการโจมตีเพื่อความสำเร็จ - และมันค่อนข้างซับซ้อนที่จะเริ่มต้นด้วย - ต้องมีเวอร์ชันที่มีช่องโหว่ทั้งลูกค้าและเซิร์ฟเวอร์

แม้ว่าขอบเขตของปัญหาจะมี จำกัด มาก แต่บางทีคุณอาจกังวลเกี่ยวกับการใช้ซอฟต์แวร์ที่มี OpenSSL รวมอยู่ด้วย ก่อนอื่น Heartbleed ตอนนี้การโจมตีจากคนตรงกลาง การมุ่งเน้นไปที่ความจริงที่ว่า OpenSSL มีข้อบกพร่อง (ซอฟต์แวร์อะไรไม่ได้) พลาดจุดสำคัญมาก: พวกเขากำลังได้รับการแก้ไข

ดวงตายิ่งปลอดภัยยิ่งขึ้น

ความจริงที่ว่านักพัฒนาซอฟต์แวร์กำลังเปิดเผยข้อผิดพลาดเหล่านี้และแก้ไขข้อผิดพลาดนั้นกำลังทำให้มั่นใจเพราะนั่นหมายความว่าเรามีลูกตามากขึ้นในซอร์สโค้ด OpenSSL ผู้คนจำนวนมากกำลังตรวจสอบแต่ละบรรทัดเพื่อหาช่องโหว่ที่อาจเกิดขึ้น หลังจากการเปิดเผยของ Heartbleed bug เมื่อต้นปีที่ผ่านมาหลายคนรู้สึกประหลาดใจที่พบว่าโครงการไม่มีเงินทุนจำนวนมากหรือนักพัฒนาที่ทุ่มเทจำนวนมากแม้จะมีการใช้งานอย่างแพร่หลาย

"มัน [OpenSSL] สมควรได้รับความสนใจจากชุมชนความปลอดภัยที่ได้รับตอนนี้" Wim Remes ผู้จัดการที่ปรึกษาของ IOActive กล่าว

กลุ่ม บริษัท ยักษ์ใหญ่ด้านเทคโนโลยีรวมถึง Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel และ Cisco รวมตัวกับมูลนิธิ Linux เพื่อจัดตั้ง Core Infrastructure Initiative (CII) CII ให้เงินทุนแก่โครงการโอเพนซอร์ซเพื่อเพิ่มผู้พัฒนาเต็มเวลาดำเนินการตรวจสอบความปลอดภัยและปรับปรุงโครงสร้างพื้นฐานการทดสอบ OpenSSL เป็นโครงการแรกที่ได้รับทุนภายใต้ CII; โปรโตคอลเวลาเครือข่ายและ OpenSSH กำลังได้รับการสนับสนุนเช่นกัน

“ ชุมชนได้เพิ่มความท้าทายเพื่อให้แน่ใจว่า OpenSSL กลายเป็นผลิตภัณฑ์ที่ดีขึ้นและปัญหานั้นถูกค้นพบและแก้ไขได้อย่างรวดเร็ว” Steve Pate หัวหน้าสถาปนิกของ HyTrust กล่าว

คุณควรกังวลไหม

หากคุณเป็นผู้ดูแลระบบคุณต้องอัปเดต OpenSSL ข้อผิดพลาดเพิ่มเติมจะถูกค้นพบและแก้ไขดังนั้นผู้ดูแลระบบต้องคอยระวังตัวแก้ไขเพื่อให้ซอฟต์แวร์ทันสมัย

สำหรับผู้บริโภคส่วนใหญ่มีไม่มากที่ต้องกังวลเกี่ยวกับ Ivan Ristic ผู้อำนวยการฝ่ายวิศวกรรมของ Qualys กล่าวว่าเพื่อให้สามารถใช้ประโยชน์จากข้อผิดพลาดได้ OpenSSL จะต้องอยู่ที่ปลายทั้งสองของการสื่อสารและโดยทั่วไปจะไม่เกิดขึ้นในการท่องเว็บ เบราว์เซอร์เดสก์ท็อปไม่พึ่งพา OpenSSL และแม้ว่าเว็บเบราว์เซอร์หุ้นบนอุปกรณ์ Android และ Chrome สำหรับ Android ทั้งคู่จะใช้ OpenSSL “ เงื่อนไขที่จำเป็นสำหรับการใช้ประโยชน์นั้นหาได้ยากขึ้นเล็กน้อย” Ristic กล่าว ความจริงที่ว่าการหาประโยชน์จำเป็นต้องอาศัยการวางตำแหน่งคนตรงกลางคือ "จำกัด " เขากล่าว

OpenSSL มักใช้ในอรรถประโยชน์บรรทัดคำสั่งและสำหรับการเข้าถึงแบบเป็นโปรแกรมดังนั้นผู้ใช้จำเป็นต้องอัพเดตทันที และแอปพลิเคชันซอฟต์แวร์ใด ๆ ที่พวกเขาใช้ที่ใช้ OpenSSL ควรได้รับการอัปเดตทันทีที่มีเวอร์ชันใหม่ออกมา

อัปเดตซอฟต์แวร์และ "เตรียมพร้อมสำหรับการอัปเดตบ่อยครั้งในอนาคตของ OpenSSL เนื่องจากไม่ใช่ข้อบกพร่องล่าสุดที่จะพบได้ในแพ็คเกจซอฟต์แวร์นี้" Wolfgang Kandek, CTO ของ Qualys เตือน