Video: Indy pleegde zelfmoord nadat hij als kind in het criminele circuit belandde (November 2024)
Er is een nieuwe versie van OpenSSL, en ja, het bleek dat eerdere versies van het beveiligingspakket enkele ernstige kwetsbaarheden hadden. Het is echter goed dat deze gebreken worden gevonden; we kijken niet naar een ramp met Heartbleed-proporties.
Op het eerste gezicht lijkt het OpenSSL-advies met een lijst van alle zeven kwetsbaarheden die in OpenSSL zijn opgelost een enge lijst. Een van de tekortkomingen, indien misbruikt, kan een aanvaller toestaan om verkeer tussen een OpenSSL-client en OpenSSL-server te zien en te wijzigen in een man-in-the-middle-aanval. Het probleem is aanwezig op alle clientversies van OpenSSL en server 1.0.1 of 1.0.2-beta1. Om de aanval te laten slagen - en het is in het begin vrij ingewikkeld - moeten kwetsbare versies van zowel de client als de server aanwezig zijn.
Hoewel de omvang van het probleem zeer beperkt is, maakt u zich misschien zorgen over het blijven gebruiken van software met inbegrepen OpenSSL. Ten eerste, Heartbleed. Nu, man-in-the-middle-aanvallen. Focussen op het feit dat OpenSSL bugs heeft (welke software niet?) Mist een heel kritisch punt: ze worden gepatcht.
Meer ogen, meer veiligheid
Het feit dat ontwikkelaars deze bugs bekendmaken - en repareren - is geruststellend, omdat het betekent dat we meer oog hebben voor de OpenSSL-broncode. Meer mensen onderzoeken elke regel op mogelijke kwetsbaarheden. Na de onthulling van de Heartbleed-bug eerder dit jaar, waren veel mensen verrast om te ontdekken dat het project niet veel financiering of veel toegewijde ontwikkelaars had, ondanks het wijdverbreide gebruik.
"Het [OpenSSL] verdient de aandacht van de beveiligingsgemeenschap die het nu ontvangt", aldus Wim Remes, managing consultant voor IOActive.
Een consortium van technische reuzen, waaronder Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel en Cisco, is samengevoegd met de Linux Foundation om het Core Infrastructure Initiative (CII) te vormen. CII financiert open source-projecten om fulltime ontwikkelaars toe te voegen, beveiligingsaudits uit te voeren en de testinfrastructuur te verbeteren. OpenSSL was het eerste project gefinancierd onder CII; Network Time Protocol en OpenSSH worden ook ondersteund.
"De community is de uitdaging aangegaan om ervoor te zorgen dat OpenSSL een beter product wordt en dat problemen snel worden gevonden en opgelost", aldus Steve Pate, chief architect bij HyTrust.
Moet je je zorgen maken?
Als u een systeembeheerder bent, moet u OpenSSL bijwerken. Meer bugs worden gevonden en opgelost, dus beheerders moeten opletten voor patches om de software up-to-date te houden.
Voor de meeste consumenten is er weinig om je zorgen over te maken. Om de bug te exploiteren, moet OpenSSL aanwezig zijn aan beide uiteinden van de communicatie, en dat gebeurt meestal niet bij het surfen op het web, zei Ivan Ristic, technisch directeur bij Qualys. Desktopbrowsers vertrouwen niet op OpenSSL, en hoewel de standaardwebbrowser op Android-apparaten en Chrome voor Android beide OpenSSL gebruiken. "De voorwaarden voor exploitatie zijn nogal moeilijker te vinden, " zei Ristic. Het feit dat uitbuiting man-in-the-middle positionering vereist, is "beperkend", zei hij.
OpenSSL wordt vaak gebruikt in opdrachtregelprogramma's en voor programmatische toegang, dus gebruikers moeten meteen updaten. En elke softwaretoepassing die ze gebruiken en die OpenSSL gebruikt, moet worden bijgewerkt zodra nieuwe versies beschikbaar komen.
Update de software en "bereid u voor op frequente updates in de toekomst van OpenSSL, aangezien dit niet de laatste bugs zijn die in dit softwarepakket worden gevonden", waarschuwde Wolfgang Kandek, CTO van Qualys.
