nss Κυβερνοασφάλεια ως Υπηρεσία
nss Διαχείριση Προνομιακής Πρόσβασης
nss Ολοκληρωμένες Λύσεις για MSP & ITSP
nss Διαχείριση Ασφάλειας Δεδομένων
nss Διαχείριση κωδικών πρόσβασης για Παρόχους Διαχειριζόμενων Υπηρεσιών (MSPs)
nss Προσδιορισμός & Διαχείριση Ευπαθειών Ασφάλειας
nss Έλεγχος ασφάλειας εφαρμογών για επιχειρήσεις
nss Link Load Balancing, Wifi & SDWAN
nss Ανθεκτικότητα στις απειλές επόμενης γενιάς
nss Document Security
nss Server Load Balancing, Secure GW, WAN Optimization
nss Αρχειοθέτηση email
nss PKI Solutions & Identity Services
nss Κλιμακωτή Αποθήκευση Αντιγράφων Ασφαλείας
nss Physical / Virtual Backup & Disaster Recovery
nss Ασφάλεια Κρίσιμων Επικοινωνιών
nss SIEM & Log Management
nss Πλατφόρμα Διαχείρισης Απειλών & Ευπαθειών
ΠΡΟΪΟΝΤΑ
PRODUCTS
Facebook Twitter Linkedin Youtube Rss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss
nss

Array. Πόσο ασφαλές είναι το OpenSSL;

H “πρώτη επετείος” από την ανακάλυψη της ευπάθειας Heartbleed στο OpenSSL -και η πρόσφατη έξαρση ενός αριθμού από άκρως εκμεταλλεύσιμες και υψηλού κινδύνου ευπάθειες- σε βάζει σε σκέψεις: άραγε πόσο συχνά αναφέρονται τέτοιες ευπάθειες και τρωτά σημεία στο OpenSSL και ποιες είναι οι επιπτώσεις τους;

Αν και στην Array, έχουν αναπτύξει την δική τους στοίβα SSL για την παραγωγική κίνηση, η εταιρεία χρησιμοποιεί το OpenSSL για συγκεκριμένες λειτουργίες των προϊόντων της, όπως είναι τα XML RPC και SOAP APIs, διάφορα WebUIs και για άλλες που δεν έχουν σχέση με την κίνηση λειτουργίες. Επομένως, το συγκεκριμένο κείμενο και η συγκεκριμένη άσκηση δεν έγινε για να κακολογήσει το OpenSSL, το αντίθετο. Έχει στόχο την απόκτηση καλύτερης κατανόησης πάνω στο τοπίο που διαμορφώνεται με τις ευπάθειες και για να λειτουργήσει ως βάση συζήτησης πάνω στην δικτυακή ασφάλεια συνολικά.

Το παρακάτω infographic δημιουργήθηκε χρησιμοποιώντας δεδομένα από την NIST National Vulnerability Database, και περιλαμβάνει ευπάθειες με βαθμούς “εκμεταλλευσιμότητας” (Exploitability Subscores) από 8,5 και πάνω (με το 10 να είναι ο ανώτερος). Αν και έχει γίνει ότι είναι δυνατόν για να εξασφαλιστεί η ολοκληρωμένη εικόνα και με την απαραίτητη ακρίβεια, το τεράστιο εύρος της βάσης δεδομένων NIST καθιστά την οποιαδήποτε προσπάθεια σε ένα άθλο.

Όπως μπορείτε να δείτε, όπως κάθε λογισμικό, το OpenSSL είχε το δικό του μερίδιο στις ευπάθειες με τον καιρό. Ορισμένες αναφέρθηκαν την ώρα που – ή αμέσως μετά- κυκλοφορούσε κάθε μεγάλη έκδοση. Για παράδειγμα μετά την κυκλοφορία της έκδοσης 1.0.2 στις 22 Ιανουαρίου, 2015, και σε λιγότερο από δύο μήνες αναφέρθηκαν οι ευπάθειες CVE-2015-0291 και CVE-2015-0292.

Όπως είναι φανερό, αυτή είναι η φύση της ανάπτυξης του λογισμικού ανοιχτού κώδικα (open-source). Η ίδια δομή που δίνει στο ανοιχτό λογισμικό τόσες εξαιρετικές δυνατότητες –πολλοί developers, πολλές φορές εθελοντές, εργάζονται μαζί για να δημιουργήσουν μία διαθέσιμη σε όλους βάση κώδικα- μπορεί να οδηγήσει και σε λάθη, επειδή οι developers εργάζονται και ανεξάρτητα. Παρόλα αυτά, με μία τόσο μεγάλη κοινότητα από developers, τα περισσότερα λάθη τυπικά διορθώνονται πολύ γρήγορα, μετριάζοντας τις επιπτώσεις τους.

Και για να είμαστε δίκαιοι, ορισμένα προϊόντα της Array ήταν     σε μία, δύο ευπάθειες από αυτές που αναφέρονται, καθώς και σε μερικές άλλες που είχαν χαμηλότερους βαθμούς εκμεταλλευσιμότητας. Συνήθως, τέτοιες ευπάθειες συνδέονται με λειτουργίες που αναφέρθηκαν παραπάνω ή σε κάποια παλαιότερα, end-of-sale προϊόντα όπως οι σειρές SPX και TMX. Για να μάθετε περισσότερα για τα προϊόντα της Array, ακολουθήστε την εταιρεία στο Twitter.

Δείτε παρακάτω το σχετικό Infographic. 

Περισσότερα μπορείτε να διαβάσετε στο πρωτότυπο άρθρο, εδώ.

Είστε έτοιμοι για το επόμενο βήμα?
Επικοινωνία
Facebook Twitter Linkedin Youtube Rss

NSS

Στοιχεία Επισκέπτη

Λειτουργικό Σύστημα: -
Διεύθυνση IP: 3.14.130.186

Επικοινωνήστε μαζί μας

Antivirus Εκτακτης Αναγκης
Copyright © NSS. All Rights Reserved.
website by 9AM