АНАЛИЗ НОВОСТЕЙ: каждой уязвимости необходимы логотип и его личный сайт как Heartbleed, и сейчас ЯД имеет? Вот то, из-за чего не каждый недостаток есть «следующей громадной вещью».7 апреля 2014 мир безопасности преобразовал с раскрытием уязвимости Heartbleed, и это ни при каких обстоятельствах не было разумеется, чем с раскрытием в среду ЯДА (Виртуализированная Среда Закинутое Операционное Манипулирование) недостаток.Heartbleed был, быть может, первой уязвимостью совокупности обеспечения безопасности, которая возьмёт ее личный сайт при раскрытии с ее списком и собственным логотипом Довольно часто задаваемых вопросов (FAQ).
Heartbleed создал тренд упакованной, фирменной уязвимости для несложного потребления носителей. ЯД, раскрытый компанией безопасности CrowdStrike, следовал сборнику пьес Heartbleed, с логотипом, брендом и Веб-сайтом об и обманом кроме этого.В течение часа по окончании ЯДА, раскрываемого 13 мая, мой ящик входящих сообщений лавинно рассылался нападением специалистов по преследованию автомобили скорой их представителей и помощи PR все стремящиеся сообщить мне, из-за чего ЯД либо не есть следующим Heartbleed. Никакое удивление мне.
ЯД следовал сборнику пьес Heartbleed, итак, из-за чего не был обязан обман?ЯД, но, не Heartbleed-по-последовательности-обстоятельств.
Наиболее главная причина есть той, которую я узнал в течение 5 мин. по окончании наблюдения раскрытия – что не есть ни одним из моих серверов, пребывал в опасности либо был возможен когда-либо быть использованным от ЯДА. Вы видите с Heartbleed, недостаток был в OpenSSL криптографической библиотекой, которая включает надёжный транспорт данных на сотнях миллионов устройств. Это был тривиальный недостаток для применения и потому, что это выяснилось, это было использовано скоро.ЯД есть второй историей.
Это – недостаток в уровне виртуализации QEMU, что довольно часто употребляется в развертывании гипервизора включая тех для гипервизоров KVM и Xen с открытым исходным кодом. Недостаток по существу разрешает выходу из безопасности единственной виртуальной автомобили возможно заразить другие автомобили.Надлежащее развертывание любой виртуальной технологии либо любого основанного на узле процесса в этом отношении, в ОС Linux должно включить применение необходимых средств управления доступом, таких как SELinux (Улучшенный Безопасностью Linux) либо AppArmor.
Для SELinux существует проект sVirt, что в частности снабжает средства управления для виртуализации, включая QEMU. Так, по моему собственному опытному точке зрения каждая организация, трудящаяся sVirt (что есть громадным числом из них), не ограничила никаким риском от ЯДА. Сейчас применение SELinux – кроме этого что-то, что рекомендуется как самая успешная практика для развертывания контейнера Linux, как Докер, и ограничит риск любых потенциальных выходов песочницы с той разработкой кроме этого.Я не говорю, что пользователи не должны исправлять для ЯДА – и существуют патчи, сейчас дешёвые от больших поставщиков Linux.
То, что я говорю, – то, что это не катастрофическая уязвимость, которую любой применяет сейчас. ЯД есть законной уязвимостью, которая возможно смягчена через надлежащие управления процессом, каковые должны уже применять все системные администраторы Linux.
Были уязвимости виртуализации, в прошлых годах намного хуже, чем ЯД, что не проходил Heartbleed-фирменное лечение. В первую очередь CVE-2014-7188, либо что мне нравится именовать как Уязвимость Xen Что Перезагруженный Открытое облако. Та уязвимость публично ни при каких обстоятельствах не выпускалась под брендом компанией безопасности и не взяла тот же обман носителей, но была намного более действенной и страшной. Amazon, Rackspace и IBM шепетильно координировали ту уязвимость, и любой должен был перезагрузить их облака для устранения неприятности.
Итак, из-за чего случается так, что поставщики совокупностей обеспечения безопасности все преследуют следующий Heartbleed? Из-за чего в том месте потребность выпустить под брендом и раздуть сведения уязвимости? Несложный ответ, само собой разумеется, то, что, производя под брендом уязвимость, поставщик совокупностей обеспечения безопасности, быть может, сохраняет надежду взять предстоящее действие для собственного экспертных знаний и собственного бренда. Существует некая слава в нахождении, что после этого громадная уязвимость, уязвимость, которая имела возможность стереть с лица земли сеть и привести к крупным денежным денежным.
Поиск на следующий Heartbleed есть весьма добропорядочным преследованием, в случае если сделано подобающим образом. Ища глубоко встроенные неточности, скрытые уязвимости, каковые имели возможность подвергнуть миллионы риску, смогут быть фиксированы. Беспокойство – то, что не каждая уязвимость есть практически «следующей громадной вещью», и сверхраздувая уязвимости, существует риск уменьшения чувствительности у рынка. Не совсем «поднимающий фальшивую тревогу» сценарий, но близко.
ЯД есть занимательным недостатком, и я рад, что исследователи CrowdStrike нашли его и ответственно раскрыли его так, это могло быть исправлено. Но уязвимости ответственно раскрыты и исправляются ежедневно.
Большая часть ни при каких обстоятельствах не будет получать логотип либо фирменный Сайт, и это – метод, которым это должно быть. Исправление уязвимости есть легко частью ежедневных операций. Это не единорог либо неповторимое событие; это – легко новое обычное.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.