研究人員最近披露稱,openssl安全漏洞披露可能在更新釋出前的空檔期造成更嚴重的潛在後果。
技術領域的鬥争可謂古來有之——windows對linux、emacs對vi乃至perl對python,而如今安全領域也有了自己的争端——安全漏洞披露方式。曾幾何時,公開釋出安全漏洞被作為業界共識,然而最近人們發現公布與openssl相當之漏洞卻往往反生禍端。
攻擊者們能夠利用一套經過精心設計的私有密鑰立足于外部讀取openssl中b2i_pvk_bio()函數中的漏洞說明,intelworks公司軟體工程師guido vranken在一篇博文中指出。這可能導緻某些與漏洞及缺陷相關的記憶體内容遭到外洩。
這項安全漏洞于今年2月24号被報告至openssl,但vranken表示該項目團隊于兩天後回報稱,這份報告連同其它近期送出的内容需要等到下個版本釋出時才能實作針對性調整。vranken于3月1号通過個人部落格公布了這項bug,而就在同一天openssl釋出了1.0.2g與1.0.1s兩個版本。“為攻擊者預留長達一個月的惡意活動周期對于保障安全顯然非常不利,”他寫道。
管理者與使用者們強調稱,他們應當能夠第一時間了解與安全漏洞相關的資訊,且無法坐等漫長的版本更新周期。誠然,有時候公開披露一項bug能夠刺激對應企業優先審視該問題并将其修複。
而這種情況在去年的汽車黑客事件中也曾經出現,當時研究人員charlie miller與chris valasek與克萊斯勒公司投入長達九個月時間以修複安全漏洞,進而避免潛在攻擊者入侵并以無線方式遙控該公司旗下的2015款切諾基車型。克萊斯勒方面在《連線》雜志釋出相關報道的幾天之後,即對該款車型進行了召回。
不過openssl安全漏洞的情況卻與之不同,因為該項目團隊承認了報告内容的正确性,并表示其正在進行修複,但evranken卻強調稱該團隊表示必須“遵循既有日程安排與時間表。”
沒有更好,也沒有更糟
盡管相關問題早晚能夠得到解決,不過這項bug似乎還不足以讓openssl團隊優先着手處理。雖然vranken并沒有在博文中提供任何與其後果或者利用途徑相關的資訊,但risk based security公司綜合性漏洞資料庫vulndb已經将其收錄進來,并指出其并不是那種需要放下現有工作、全力加以應對的嚴重缺陷。
vulndb将該缺陷的優先級評為“高”,但其基準分數僅為7.8分,可利用性得分為8.6分,影響嚴重性得分為7.8分。這些分數基于通用薄弱性評分系統并納入了其它内部分類及名額,用于确定一項已公開漏洞的利用難度以及影響嚴重性。
其嚴重程度在過去兩年中openssl發現的約60種漏洞當中屬于“沒有更好,但也沒有更糟”的中等水準,black duck software公司cto bill ledingham表示。“研究人員就代碼層面向openssl報告的安全漏洞在數量上已經相當可觀。”
是以對openssl來說,保證相關漏洞不為外界所知曉可能會是個好主意,其意義甚至遠大于此次曝出的特定漏洞本身。
未受到攻擊
公開披露安全漏洞的另一大重要理由在于,實際遭遇相關攻擊的管理人員能夠獲得消息并組織有針對性的應對措施。不過此次情況卻有所不同,因為vranken乃至vulndb都沒發現過任何由該漏洞引起的實際攻擊活動。而“歸功于”此次披露,攻擊者們反而了解到了其具體細節并有可能加以實驗,這将使得防禦一方很難輕松實作系統保護。
it部門必須等待新的openssl版本,而在此之前其隻能祈禱自己不要受到實際攻擊的威脅。目前,在環境中使用openssl的管理者們對該特定bug完全束手無策。
負責任的披露流程會耗費更長時間且相當枯燥,然而其能夠真正幫助我們提升整體安全水準——因為當漏洞細節被公諸于衆時,修複更新檔也已經同時跟上。這才是真正令人安心的問題解決方式,也是我們應當遵循的系統/網絡保護手段。即使是最精明的it安全專家也總會被某些軟體漏洞所蒙蔽,特别是當他們不清楚漏洞的具體利用方式、是否屬于活動威脅或者如何将其歸納為bug報告結果的情況下。
研究人員需要考量漏洞的實際影響,且不能因為其存在潛在嚴重性就簡單将其視為高危。如果安全報告反複向人們散布高危資訊,大家反而會變得麻木甚至幹脆忽略全部提醒——這顯然是我們it安全從業者所不願看到的。
本文轉自d1net(轉載)
![Cloud Studio初體驗[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)