Сага Heartbleed продолжается как Google Announces BoringSSL

АНАЛИЗ НОВОСТЕЙ: Учитывая прогноз, что серверы, уязвимые для Heartbleed, будут все еще сочтены десятилетием с этого времени, возможностями есть OpenSSL, не будет неинтересным некое время.Спустя практически три месяца по окончании того, как об уязвимости совокупности обеспечения безопасности Heartbleed сперва сказали, ее влияние все еще ощущают. Это – вид беспокойства, в котором не нуждаются эксперты по ИТ.Спустя один месяц по окончании того, как уязвимость Heartbleed была раскрыта, исследователь в области безопасности Роберт Грэм сказал, что отыскал 318 239 совокупностей все еще в опасности.

21 июня он сказал, что счел 309 197 серверов все еще уязвимыми для Heartbleed.Как сага, окружающая уязвимость совокупности обеспечения безопасности Heartbleed-a в OpenSSL с открытым исходным кодом продолжает криптографическая библиотека, которая была раскрыта 7 апреля – заявил Гугл о BoringSSL.Для многих в сообществе безопасности Heartbleed был захватывающим событием. Это – обстановка, которую Гугл желает поменять для его собственного применения OpenSSL.

20 июня, инженер Гугл, Адам Лэнгли заявил о BoringSSL, что есть ветвлением кодовой базы OpenSSL.Гугл есть большим пользователем OpenSSL, и вместе с компанией безопасности Codenomicon, приписан начальное открытие Heartbleed. Применение Гугл OpenSSL не только для серверов; это кроме этого употребляется на Android мобильная ОС, кроме этого.Гугл вносил патчи к проекту OpenSSL с открытым исходным кодом в течение многих лет, не смотря на то, что не все они включены в официальный проект, сообщил Лэнгли.

Гугл делает все собственные патчи поверх OpenSSL как часть его операций.«Упрочнение, вовлеченное в хранение всех этих патчей (и существуют больше чем 70 сейчас) прямо через многократные кодовые базы, добирается, дабы быть через чур много», записал Лэнгли в сообщении в блоге. «Так, мы переключаем модели на ту, куда мы импортируем трансформации из OpenSSL вместо того, дабы повторно базироваться поверх них».Ветвление BoringSSL от Гугл все еще пошлёт исправления до главного проекта с открытым исходным кодом, так, это будет возможно взаимовыгодная обстановка и для Гугл и для OpenSSL.Долговременные последствия Heartbleed

Что делает факт, что много серверов все еще уязвимо средний?«Это показывает, что люди прекратили кроме того пробовать исправить», записал Грэм в сообщении в блоге. «Мы должны видеть медленное уменьшение за следующее десятилетие, потому, что более ветхие совокупности медлительно заменяются».Исследователь в области безопасности заявил, что ожидает быть в состоянии отыскать совокупности, каковые уязвимы для Heartbleed десятилетие с этого времени.Это есть шокирующим.

Либо это?Опять и опять, в то время, когда я информирую относительно нарушений защиты, ведущий преступник есть в большинстве случаев неисправленными совокупностями.

Факт, что существуют неисправленные серверы, не должен в обязательном порядке быть удивлением, и это – не обязательно финиш света, кроме этого. В некоторых случаях Брандмауэр веб-приложения (WAF) либо другая система обороны сетевого периметра имели возможность бы существовать для потенциального ограничения риска эксплуатации.В некоторых случаях администратор сервера просто не знает, что существует что-то, что должно быть исправлено. В тех случаях я довольно часто обнаружил, что это не всего одна позиция, которая есть устаревшей, но и пара.

Для тех устаревших серверов я подозреваю, что Heartbleed есть лишь одним из многих потенциальных дорог к эксплуатации.BoringSSL?До тех пор пока новость Heartbleed не показалась, OpenSSL, как в большинстве случаев многие, был значительной, стабильной частью инфраструктуры, и это – часть объяснения для заглавия проекта OpenSSL Гугл BoringSSL.

BoringSSL имени «амбициозен и еще обещание», сообщил Лэнгли.Учитывая ужасный прогноз Грэма, что серверы, уязвимые для Heartbleed, будут все еще сочтены десятилетием с этого времени, я лично подозреваю, что OpenSSL будет совсем не неинтересным некое время все же.

Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.


Блог Хихуса