וִידֵאוֹ: OpenSSL Step By Step Tutorial | How to Generate Keys, Certificates & CSR Using OpenSSL (נוֹבֶמבֶּר 2024)
יש גרסה חדשה של OpenSSL, וכן, מסתבר שגרסאות קודמות של חבילת האבטחה היו עם כמה פגיעויות חמורות. עם זאת, ליקויים אלה שנמצאים זה דבר טוב; אנחנו לא מסתכלים על אסון של פרופורציות לב.
במבט ראשון נראה כי הייעוץ OpenSSL המפרט את כל שבעת הפגיעויות שתוקנו ב- OpenSSL הוא רשימה מפחידה. אחד הליקויים, אם הוא מנוצל, יכול לאפשר לתוקף לראות ולשנות תנועה בין לקוח OpenSSL לשרת OpenSSL במתקפה בין אמצע אמצע. הבעיה קיימת בכל גרסאות הלקוח של OpenSSL ושרת 1.0.1 או 1.0.2-beta1. כדי שההתקפה תצליח - וזה די מורכב מלכתחילה - צריך להיות גרסאות פגיעות של הלקוח וגם השרת.
למרות שמידת הנושא מוגבלת מאוד, אולי אתה מודאג להמשיך להשתמש בתוכנה עם OpenSSL כלול. ראשית, Heartbleed. עכשיו, התקפות של איש באמצע. התמקדות בעובדה של- OpenSSL יש באגים (מה התוכנה לא עושה) מחמיץ נקודה קריטית ביותר: הם טופלים.
עוד עיניים, יותר ביטחון
העובדה שמפתחים חושפים את הבאגים הללו - ומתקנים אותם - היא מרגיעה, מכיוון שזה אומר שיש לנו עוד גלגלי עיניים בקוד המקור של OpenSSL. אנשים רבים בוחנים כל שורה לגבי פגיעויות אפשריות. לאחר חשיפתו של באג Heartbleed מוקדם יותר השנה, אנשים רבים הופתעו לגלות שלפרויקט לא היה הרבה מימון או הרבה מפתחים ייעודיים למרות השימוש הנרחב שלו.
Wim Remes, יועץ מנהל IOActive אמר כי "זה [OpenSSL] ראוי לתשומת לב מצד קהילת האבטחה שהיא מקבלת כעת".
קונסורציום של ענקיות טק, כולל מיקרוסופט, אדובי, אמזון, דל, גוגל, יבמ, אינטל וסיסקו, התאגדו יחד עם קרן לינוקס כדי להקים את יוזמת ליבת התשתיות (CII). CII מממן פרויקטים של קוד פתוח כדי להוסיף מפתחים במשרה מלאה, לבצע ביקורת אבטחה ולשיפור תשתיות הבדיקה. OpenSSL היה הפרויקט הראשון שמומן במסגרת CII; פרוטוקול זמן רשת ו- OpenSSH נתמכים אף הם.
"הקהילה עלתה לאתגר להבטיח ש- OpenSSL יהפוך למוצר טוב יותר ושבעיות יימצאו ותוקנו במהירות", אמר סטיב פייטה, אדריכל ראשי ב- HyTrust.
האם אתה צריך לדאוג?
אם אתה מנהל מערכת, עליך לעדכן את OpenSSL. באגים נוספים יימצאו ותוקנו, כך שמנהלי מערכת חייבים לפקוח עין אחר תיקונים בכדי לעדכן את התוכנה מעודכנת.
עבור מרבית הצרכנים אין הרבה מה לדאוג. כדי לנצל את הבאג, OpenSSL צריך להיות נוכח בשני קצוות התקשורת, וזה בדרך כלל לא קורה בגלישה באינטרנט, אמר איבן ריסטיסט, מנהל ההנדסה ב- Qualys. דפדפני שולחן העבודה אינם סומכים על OpenSSL, ואף על פי שדפדפן האינטרנט במלאי במכשירי אנדרואיד ו- Chrome עבור אנדרואיד משתמשים בשניהם OpenSSL. "התנאים הדרושים לניצול הם לא מעט יותר קשה למצוא, " אמר ריסטיק. העובדה שניצול דורש מיצוב של אדם באמצע היא "מגבילה", אמר.
OpenSSL משמש לרוב בכלי שירות של שורת הפקודה ולגישה פרוגרמטית, כך שמשתמשים צריכים לעדכן מייד. יש לעדכן כל יישום תוכנה שמשתמש בו ב- OpenSSL ברגע שתהיינה גרסאות חדשות.
עדכן את התוכנה ו"התכונן לעדכונים תכופים בעתיד של OpenSSL מכיוון שאלו אינם הבאגים האחרונים שיימצאו בחבילת תוכנה זו, "הזהיר וולפגנג קנדק, סמנכ"ל הכספים של קוואליס.