视频: 独立调查ä¸å...±æ'˜å--器官事件 (十一月 2024)
有一个新版本的OpenSSL,是的,事实证明该安全软件包的先前版本存在一些严重漏洞。 但是,发现这些缺陷是一件好事。 我们不会在心伤血腥的比例。
乍一看,列出了已在OpenSSL中修复的所有七个漏洞的OpenSSL公告似乎是一个令人恐惧的列表。 如果利用了这些缺陷之一,则攻击者可以在中间人攻击中查看和修改OpenSSL客户端与OpenSSL服务器之间的流量。 所有客户端版本的OpenSSL和服务器1.0.1或1.0.2-beta1上都存在此问题。 为了使攻击成功(开始时相当复杂),需要同时存在客户端和服务器的易受攻击的版本。
即使问题的程度非常有限,也许您仍担心继续使用包含OpenSSL的软件。 首先,伤心欲绝。 现在,中间人攻击。 着眼于OpenSSL带有bug(什么软件没有?)这一事实,忽略了一个非常关键的点:正在对其进行修补。
眼睛更多,安全性更高
开发人员公开并修复这些错误的事实令人放心,因为这意味着我们对OpenSSL源代码有更多的关注。 越来越多的人正在仔细检查每行以发现潜在的漏洞。 在今年早些时候披露了Heartbleed错误之后,许多人惊讶地发现,尽管该项目得到了广泛的使用,但该项目并没有很多资金或许多专门的开发人员。
IOActive的管理顾问Wim Remes表示:“ [OpenSSL]值得现在收到的安全社区的关注。”
由Microsoft,Adobe,Amazon,Dell,Google,IBM,Intel和Cisco等技术巨头组成的财团与Linux Foundation共同组成了Core Infrastructure Initiative(CII)。 CII为开源项目提供资金,以增加专职开发人员,进行安全审核并改善测试基础架构。 OpenSSL是CII资助的第一个项目; 还支持网络时间协议和OpenSSH。
HyTrust的首席架构师Steve Pate说:“社区已经面临挑战,以确保OpenSSL成为更好的产品,并迅速发现并解决问题。”
你应该担心吗?
如果您是系统管理员,则必须更新OpenSSL。 将会发现并修复更多错误,因此管理员必须特别注意补丁程序,以使软件保持最新。
对于大多数消费者而言,不必担心太多。 Qualys工程总监Ivan Ristic表示,为了利用此漏洞,在通信的两端都必须存在OpenSSL,而在Web浏览中通常不会出现这种情况。 桌面浏览器不依赖于OpenSSL,即使Android设备上的普通Web浏览器和Android版Chrome也都使用OpenSSL。 Ristic说:“剥削所需的条件很难找到。” 他说,剥削需要中间人的定位是“限制”。
OpenSSL通常用于命令行实用程序中并用于程序访问,因此用户需要立即进行更新。 他们使用的任何使用OpenSSL的软件应用程序都应在新版本可用后立即进行更新。
Qualys的首席技术官Wolfgang Kandek警告说,请更新软件并“准备在OpenSSL的将来进行频繁更新,因为这些不是该软件包中最后的bug。”
