فيديو: سكس نار Video (شهر نوفمبر 2024)
هناك إصدار جديد من OpenSSL ، ونعم ، ظهر أن الإصدارات السابقة من حزمة الأمان كانت بها بعض الثغرات الخطيرة. ومع ذلك ، فإن هذه العيوب التي يتم العثور عليها أمر جيد. نحن لا ننظر إلى كارثة ذات أبعاد Heartbleed.
للوهلة الأولى ، يبدو أن قائمة OpenSSL الاستشارية التي تدرج جميع نقاط الضعف السبع التي تم إصلاحها في OpenSSL قائمة مخيفة. أحد العيوب ، إذا تم استغلالها ، يمكن أن تسمح للمهاجم برؤية وتعديل حركة المرور بين عميل OpenSSL وخادم OpenSSL في هجوم رجل في المنتصف. المشكلة موجودة على جميع إصدارات العميل من OpenSSL والخادم 1.0.1 أو 1.0.2-beta1. لكي ينجح الهجوم - ومن المعقول أن نبدأ به - يجب أن تكون الإصدارات المستضعفة من كل من العميل والخادم موجودة.
على الرغم من أن نطاق المشكلة محدود للغاية ، فربما تشعر بالقلق من استمرار استخدام البرنامج مع برنامج OpenSSL. أولا ، Heartbleed. الآن ، هجمات رجل في الوسط. التركيز على حقيقة أن OpenSSL يحتوي على أخطاء (ما هو البرنامج لا؟) يفتقد إلى نقطة حرجة للغاية: يتم تصحيحها.
المزيد من العيون ، المزيد من الأمن
حقيقة أن المطورين يكشفون عن هذه الأخطاء - ويصلحونها - أمر مطمئن ، لأنه يعني أن لدينا المزيد من مقل العيون على شفرة المصدر OpenSSL. يقوم المزيد من الأشخاص بفحص كل سطر بحثًا عن نقاط الضعف المحتملة. بعد الكشف عن خلل Heartbleed في وقت سابق من هذا العام ، فوجئ الكثير من الناس باكتشاف أن المشروع لم يكن لديه الكثير من التمويل أو العديد من المطورين المتخصصين على الرغم من استخدامه على نطاق واسع.
وقال ويم ريمس ، مستشار الإدارة في IOActive: "إنها [OpenSSL] تستحق اهتمام المجتمع الأمني الذي تتلقاه الآن".
تجمع اتحاد من عمالقة التكنولوجيا ، بما في ذلك Microsoft و Adobe و Amazon و Dell و Google و IBM و Intel و Cisco ، مع Linux Foundation لتشكيل Core Infrastructure Initiative (CII). تقوم CII بتمويل مشاريع مفتوحة المصدر لإضافة مطورين متفرغين ، وإجراء عمليات تدقيق أمنية ، وتحسين البنية التحتية للاختبار. كان OpenSSL أول مشروع تموله CII ؛ كما يتم دعم بروتوكول وقت الشبكة و OpenSSH.
وقال ستيف بات ، كبير المهندسين في HyTrust: "لقد صعد المجتمع إلى مستوى التحدي لضمان أن يصبح OpenSSL منتجًا أفضل وأن يتم العثور على المشكلات وحلها بسرعة".
يجب أن تقلق؟
إذا كنت مسؤول نظام ، يجب عليك تحديث OpenSSL. سيتم العثور على المزيد من الأخطاء وإصلاحها ، لذلك يجب على المسؤولين مراقبة التصحيحات للحفاظ على تحديث البرنامج.
بالنسبة لمعظم المستهلكين ، ليس هناك الكثير مما يدعو للقلق. وقال إيفان ريستيك ، مدير الهندسة في Qualys ، من أجل استغلال هذا الخطأ ، يجب أن يكون OpenSSL حاضراً عند طرفي الاتصال ، وهذا لا يحدث عادةً في تصفح الويب. لا تعتمد متصفحات سطح المكتب على OpenSSL ، وعلى الرغم من أن متصفح الويب الخاص بالأوراق المالية على أجهزة Android و Chrome لنظام Android يستخدمان OpenSSL. وقال ريستيتش: "الظروف اللازمة للاستغلال أصعب بعض الشيء". وقال إن حقيقة أن الاستغلال يتطلب وضع الرجل في الوسط "محدود".
غالبًا ما يستخدم OpenSSL في الأدوات المساعدة لسطر الأوامر وللوصول البرمجي ، لذلك يحتاج المستخدمون إلى التحديث على الفور. وأي تطبيق برمجي يستخدمونه يستخدم OpenSSL يجب تحديثه بمجرد توفر إصدارات جديدة.
قم بتحديث البرنامج و "التحضير للتحديثات المتكررة في مستقبل OpenSSL لأن هذه ليست الأخطاء الأخيرة التي سيتم العثور عليها في حزمة البرامج هذه" ، حذر Wolfgang Kandek ، CTO من Qualys.