セキュリティウォッチ なぜopensslが再びパッチされるのは良いニュースです

なぜopensslが再びパッチされるのは良いニュースです

ビデオ: 不要嘲笑我們的性 (十一月 2024)

ビデオ: 不要嘲笑我們的性 (十一月 2024)
Anonim

OpenSSLの新しいバージョンがあります。はい、以前のバージョンのセキュリティパッケージには重大な脆弱性がいくつかありました。 ただし、これらの欠陥が見つかったのは良いことです。 私たちは、ハートブリードの規模の災害を見ていません。

一見したところ、OpenSSLで修正された7つの脆弱性すべてをリストしたOpenSSLアドバイザリは恐ろしいリストのように見えます。 脆弱性が悪用された場合、攻撃者は中間者攻撃でOpenSSLクライアントとOpenSSLサーバー間のトラフィックを確認および変更できる可能性があります。 この問題は、OpenSSLのすべてのクライアントバージョンとサーバー1.0.1または1.0.2-beta1に存在します。 攻撃が成功するためには(最初はかなり複雑ですが)、クライアントとサーバーの両方の脆弱なバージョンが存在する必要があります。

問題の範囲は非常に限られていますが、OpenSSLが含まれているソフトウェアを引き続き使用することを懸念している可能性があります。 まず、ハートブリード。 今、中間者攻撃。 OpenSSLにバグがあるという事実(どのソフトウェアにはないのか)に注目すると、非常に重要な点を見逃します:パッチが適用されています。

より多くの目、より多くのセキュリティ

開発者がこれらのバグを開示し、修正しているという事実は、OpenSSLソースコードにより多くの目を向けていることを意味するため、安心できます。 より多くの人々が潜在的な脆弱性について各行を精査しています。 今年初めにHeartbleedバグが公開された後、多くの人々は、そのプロジェクトが広範に使用されているにも関わらず、プロジェクトに多くの資金や専用の開発者がいないことに驚きました。

IOActiveのコンサルタントを管理しているWim Remes氏は、次のように述べています。

Microsoft、Adobe、Amazon、Dell、Google、IBM、Intel、Ciscoなどの技術大手のコンソーシアムは、Linux Foundationと協力してCore Infrastructure Initiative(CII)を形成しました。 CIIは、フルタイムの開発者を追加し、セキュリティ監査を実施し、テストインフラストラクチャを改善するために、オープンソースプロジェクトに資金を提供しています。 OpenSSLは、CIIで資金提供された最初のプロジェクトです。 Network Time ProtocolとOpenSSHもサポートされています。

HyTrustのチーフアーキテクトであるスティーブパテは、次のように述べています。

心配する必要がありますか?

システム管理者である場合、OpenSSLを更新する必要があります。 さらに多くのバグが検出および修正されるため、管理者はソフトウェアを最新の状態に保つためにパッチに注意する必要があります。

ほとんどの消費者にとって、心配することはあまりありません。 バグを悪用するには、通信の両端にOpenSSLが存在する必要があり、通常はWebブラウジングでは発生しません、とQualysのエンジニアリングディレクターであるIvan Ristic氏は述べています。 デスクトップブラウザはOpenSSLに依存していません。Androidデバイスの標準WebブラウザとChrome for AndroidはどちらもOpenSSLを使用していますが。 「搾取に必要な条件を見つけるのはかなり難しい」とリスティックは述べた。 搾取には中間者の配置が必要であるという事実は「制限」であると彼は言った。

OpenSSLはコマンドラインユーティリティやプログラムによるアクセスでよく使用されるため、ユーザーはすぐに更新する必要があります。 また、OpenSSLを利用するソフトウェアアプリケーションは、新しいバージョンが利用可能になり次第更新する必要があります。

QualysのCTOであるWolfgang Kandek氏は、ソフトウェアを更新し、「これらのソフトウェアパッケージで見つかる最後のバグではないため、OpenSSLの将来の頻繁な更新に備える」と警告しました。

なぜopensslが再びパッチされるのは良いニュースです