Prichádza dôležitá oprava OpenSSL

Ak podnikáte na internete, je pravdepodobné, že vaše servery využívajú OpenSSL pre vaše transakcie elektronického obchodu Transport Layer Security (TLS) a Secure Sockets Layer (SSL). Napríklad, OpenSSL sa používa na 98,7 percentách Debian Linuxu serverov.

Takže, keď Mark Cox, senior riaditeľ spoločnosti červený klobúk bezpečnosť produktu a zakladajúci člen OpenSSL, píše projektový tím OpenSSL by rád oznámil nadchádzajúce vydanie verzie OpenSSL 1.0.2f a 1.0.1r, [ktorý] opraví dve bezpečnostné chyby, jednu s „vysokou“ závažnosťou ovplyvňujúcou vydania 1.0.2 a jednu „nízku“ závažnosť ovplyvňujúcu všetky vydania“, venujem pozornosť.

Chyba OpenSSL s vysokou závažnosťou je definovaná ako „problémy, ktoré predstavujú nižšie riziko ako kritické, možno v dôsledku ovplyvnenia menej bežných konfigurácií alebo pri ktorých je menej pravdepodobné, že budú zneužiteľné. Tieto problémy zostanú súkromné ​​a spustia nové vydanie všetkých podporovaných verzií." Nie je to také zlé ako kritická diera, ale svoje servery aktualizujem hneď, ako budú dostupné záplaty.

Čo presne opravia záplaty, nevieme. Cox k svojmu oznámeniu odmietol dodať čokoľvek ďalšie. Keďže OpenSSL tvorí chrbticu bezpečnosti siete a webu, nepotrebujem poznať podrobnosti, aby som vedel, že ide o chybu, ktorú treba opraviť.

Záplaty budú sprístupnené 28. januára medzi približne 13:00 a 17:00, koordinovaného svetového času (UTC). Zdroje z Canonical, Red Hat a SUSE mi hovoria, že tieto záplaty sprístupnia vo svojich linuxových distribúciách v ten istý deň.

Ak medzitým stále používate staršie vydania OpenSSL 1.0.0 a 0.9.8: Zastavte. Tieto verzie už nie sú k 31. decembru 2015 podporované a už nebudú dostávať aktualizácie zabezpečenia.

• Súvisiace príbehy:
• NCC Group audituje OpenSSL kvôli bezpečnostným dieram
• Ďalší deň, ďalšia oprava OpenSSL
• Opravená bezpečnostná diera Logjam OpenSSL