17.06.2014  Новости, Открытый код/Linux

Уроки Heartbleed хорошо усвоены. СПО-сообщество OpenSSL Project предало гласности и исправило семь дефектов в защите своего пакета, и теперь рабочий процесс в рамках данного проекта явно отличается от того, который привел к уязвимости Heartbleed, выявленной в апреле нынешнего года. Ошибка Heartbleed, возможно одна из наиболее массово распространенных уязвимостей последнего десятилетия, поставила под угрозу сотни тысяч пользователей и организаций, вынужденных ожидать ее исправления. Но нынешние обновления безопасности OpenSSL — широко используемой свободной криптографической библиотеки для реализации шифрования по протоколу Secure Sockets Layer (SSL) — по ряду причин следует рассматривать в другом свете. Одно из самых важных различий между новыми выявленными дефектами и уязвимостью Heartbleed связано с раскрытием информации. В процессе исследования бреши Heartbleed имел место временной зазор, дававший преференции в доступе к информации Google и CloudFlare, тогда как другие организации, узнав об уязвимости из сообщения руководителей проекта OpenSSL, тратили усилия на создание подходящего патча. Этот факт поставил организации в рискованное положение и нанес прямой ущерб Canada Revenue Agency (налоговой службе Канады), так как хакер воспользовался Heartbleed до развертывания патча. Процесс раскрытия информации о вновь выявленных дефектах OpenSSL был более организованным. Он не сводился к одноразовому исправлению, так как 5 июня были устранены семь дефектов, о которых за ... читать далее.