|
Екипът, осигуряващ поддръжката на OpenSSL издаде предупреждение, че утре предстои издаването на обновление за платформата, засягащо критично важна уязвимост, като от самото съобщение не става съвсем ясно в какво се крие уязвимостта. Новите версии ще бъдат под номера 1.0.2d и 1.0.1p. Тези версии ще станат достъпни утре – 09.07. - като те няма да засегнат версиите на OpenSSL 1.0.0 или 0.9.8. Въпросният проблем изглежда е доста сериозен, коментира Тара Сийлс от Info-Security Magazine. OpenSSL е стандарт, налагащ криптозащита на комуникациите между потребителите и сървърите за голяма част от онлайн услугите днес. В качеството си на такъв, открит проблем в OpenSSL засяга множество от интернет приложения и услуги, системи и даже вградени устройства. Това – широкото използване на стандарта – е и причината, поради която налагането на обновление, адресиращо Heartbleed отне месеци наред, за да бъде наложено към всички системи, ползващи OpenSSL. Според правилата на OpenSSL, „критично важна уязвимост“ е такава, която засяга общите конфигурации, и рискът за нейното експлоатиране е висок. Това може да се изразява от атака, свързана с отказ от предоставянето на достъп до услуга (DoS), утечка на сървърна памет до възможност за осъществяване на отдалечено изпълнение на случаен код. „Този предварителен анонс е начин да се подготвят организациите за предстоящата промяна. Един от големите проблеми, свързани с паниката около Heartbleed беше свързан с това, че тези организации трябваше да открият къде точно са уязвими системите им и как трябва да наложат коректно кръпките за уязвимостта“, коментира пред изданието Тим Ерлин от Tripwire. „Сега обаче вече софтуерните компании, които използват OpenSSL могат да се подготвят с налагането на нужните корекции, издавайки нови версии значително по-бързо“, коментира Ерлин. |
|
