Появи се нова уязвимост на OpenSSL и някои компании са раздразнени, че грешката е разкрита, преди да могат да бъдат доставени корекции за нея. Актуализиран на 8 април.
Винаги се появяват нови дупки в сигурността. Последният, т.нар Heartbleed Bug в OpenSSL криптографска библиотека, е особено лоша.
Heartbleed OpenSSL уязвимост от нулев ден.
Докато Heartbleed засяга само версиите 1.0.1 и 1.0.2-бета на OpenSSL, 1.01 вече е широко разпространена. Тъй като Secure-Socket Layer (SSL) и Transport Layer Security (TLS) са в основата на интернет сигурността, тази дупка в сигурността е сериозна.
Пропускът потенциално може да се използва за разкриване не само на съдържанието на защитено съобщение, като транзакция с кредитна карта през HTTPS, но и на самите първичен и вторичен SSL ключ. След това тези данни биха могли на теория да се използват като скелетни ключове за заобикаляне на защитени сървъри, без да оставят следа, че даден сайт е бил хакнат.
Тази грешка не е проблем с присъщия дизайн на OpenSSL. Това е проблем с внедряването. Това е резултат от програмна грешка. Вече има налична корекция за проблема за програмата 1.01 в OpenSSL 1.0.1g. Работата напредва бързо за чифт от 1.02-бета линия.
Това е достатъчно лошо. но това, което наистина отметна някои компании за операционни системи и сигурност, е, че OpenSSL и други бяха трудни работа по доставянето на закърпените версии, които биха ограничили възможното използване на проблема от хакери с черни шапки, CloudFlare, компания за уеб сигурност, разкрита в a публикуване в блог на подробности за дупката в сигурността и че са поправили грешката. Те изглежда са използвали методите, описани от OpenSSL. За съжаление, за всички останали тези методи не бяха готови за широко разгръщане.
Според един старши разработчик на сигурността в голяма компания за операционни системи, „Основният проблем с това, което направи CloudFlare, беше, че се отказаха от опитите, преди ПЪРВИТЕ НАЛИЧНИ пачове да станат достъпни за потребители. Не отваряш вратата и не размахваш червен флаг, преди лепенките да са готови за работа."
Джон Греъм-Къминг. програмист на CloudFlare, настоя, че това неправилно представя CloudFlare
влияние върху новините за дупката в сигурността на Heartbleed, откакто съобщението за OpenSSL беше публикувано в Хакерски новини по-рано.
Понастоящем съм информиран от източници, че Red Hat, Debian, SuSE, Canonical и Oracle, за да назовем само няколко, работят с трескава скорост, за да предоставят закърпените версии на OpenSSL на своите клиенти. Очаква се доставянето на корекциите да отнеме около 12 часа. Кога ще станат достъпни Всеки, който използва OpenSSL 1.01 или 1.02, трябва да внедри пакетираната версия възможно най-бързо.
Свързани истории:
- GnuTLS: Големи вътрешни грешки, малко проблеми от реалния свят
- Как началната страница на OpenSSL беше обезобразена?
- RSA хвана отново в подкопаването на NSA на двойно EC криптиране
- Apple пуска актуализация на OS X 10.9.2, коригира сериозна грешка в SSL
- Много уебсайтове на Apache работят със стар, уязвим софтуер