Array. Πόσο ασφαλές είναι το OpenSSL;
H “πρώτη επετείος” από την ανακάλυψη της ευπάθειας Heartbleed στο OpenSSL -και η πρόσφατη έξαρση ενός αριθμού από άκρως εκμεταλλεύσιμες και υψηλού κινδύνου ευπάθειες- σε βάζει σε σκέψεις: άραγε πόσο συχνά αναφέρονται τέτοιες ευπάθειες και τρωτά σημεία στο OpenSSL και ποιες είναι οι επιπτώσεις τους;
Αν και στην Array, έχουν αναπτύξει την δική τους στοίβα SSL για την παραγωγική κίνηση, η εταιρεία χρησιμοποιεί το OpenSSL για συγκεκριμένες λειτουργίες των προϊόντων της, όπως είναι τα XML RPC και SOAP APIs, διάφορα WebUIs και για άλλες που δεν έχουν σχέση με την κίνηση λειτουργίες. Επομένως, το συγκεκριμένο κείμενο και η συγκεκριμένη άσκηση δεν έγινε για να κακολογήσει το OpenSSL, το αντίθετο. Έχει στόχο την απόκτηση καλύτερης κατανόησης πάνω στο τοπίο που διαμορφώνεται με τις ευπάθειες και για να λειτουργήσει ως βάση συζήτησης πάνω στην δικτυακή ασφάλεια συνολικά.
Το παρακάτω infographic δημιουργήθηκε χρησιμοποιώντας δεδομένα από την NIST National Vulnerability Database, και περιλαμβάνει ευπάθειες με βαθμούς “εκμεταλλευσιμότητας” (Exploitability Subscores) από 8,5 και πάνω (με το 10 να είναι ο ανώτερος). Αν και έχει γίνει ότι είναι δυνατόν για να εξασφαλιστεί η ολοκληρωμένη εικόνα και με την απαραίτητη ακρίβεια, το τεράστιο εύρος της βάσης δεδομένων NIST καθιστά την οποιαδήποτε προσπάθεια σε ένα άθλο.
Όπως μπορείτε να δείτε, όπως κάθε λογισμικό, το OpenSSL είχε το δικό του μερίδιο στις ευπάθειες με τον καιρό. Ορισμένες αναφέρθηκαν την ώρα που – ή αμέσως μετά- κυκλοφορούσε κάθε μεγάλη έκδοση. Για παράδειγμα μετά την κυκλοφορία της έκδοσης 1.0.2 στις 22 Ιανουαρίου, 2015, και σε λιγότερο από δύο μήνες αναφέρθηκαν οι ευπάθειες CVE-2015-0291 και CVE-2015-0292.
Όπως είναι φανερό, αυτή είναι η φύση της ανάπτυξης του λογισμικού ανοιχτού κώδικα (open-source). Η ίδια δομή που δίνει στο ανοιχτό λογισμικό τόσες εξαιρετικές δυνατότητες –πολλοί developers, πολλές φορές εθελοντές, εργάζονται μαζί για να δημιουργήσουν μία διαθέσιμη σε όλους βάση κώδικα- μπορεί να οδηγήσει και σε λάθη, επειδή οι developers εργάζονται και ανεξάρτητα. Παρόλα αυτά, με μία τόσο μεγάλη κοινότητα από developers, τα περισσότερα λάθη τυπικά διορθώνονται πολύ γρήγορα, μετριάζοντας τις επιπτώσεις τους.
Και για να είμαστε δίκαιοι, ορισμένα προϊόντα της Array ήταν σε μία, δύο ευπάθειες από αυτές που αναφέρονται, καθώς και σε μερικές άλλες που είχαν χαμηλότερους βαθμούς εκμεταλλευσιμότητας. Συνήθως, τέτοιες ευπάθειες συνδέονται με λειτουργίες που αναφέρθηκαν παραπάνω ή σε κάποια παλαιότερα, end-of-sale προϊόντα όπως οι σειρές SPX και TMX. Για να μάθετε περισσότερα για τα προϊόντα της Array, ακολουθήστε την εταιρεία στο Twitter.
Δείτε παρακάτω το σχετικό Infographic.
Περισσότερα μπορείτε να διαβάσετε στο πρωτότυπο άρθρο, εδώ.