Vanhojen OpenSSL-sivukonttoreiden suojauskertoja

OpenSSL-ohjelmistosäätiö on julkaissut uusia korjaustiedostoja suosituille avoimen lähdekoodin salaustekniikkakirjastolle, mutta kahdelle vanhemmalle sivukonttorilleen ne todennäköisesti ovat viimeiset tietoturvapäivitykset.

Tämä saattaa tapahtua ongelmat joillekin yrityssovelluksille, jotka niputtavat OpenSSL: n 0.9.8 tai 1.0.0 versiot ja vanhat järjestelmät - erityisesti sulautetut laitteet - joissa päivitykset ovat harvinaisia.

OpenSSL 1.0.0t ja 0.9.8zh, jotka julkaistiin Torstaina, odotetaan olevan viimeisiä päivityksiä, koska näiden kahden sivukonttorin tuki päättyy 31. joulukuuta, kuten organisaation julkaisuratkaisuasiakirjassa on.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Sekä 1.0.0t että 0.9.8zh versiot ovat tärkeitä korjattu muistin vuotamisen haavoittuvuus kohtalaisen vakavuuteen, joka voi ilmetä epämuodostuneiden X509_ATTRIBUTE-rakenteiden kanssa. Versio 0.9.8zh korjaa myös matala-iskutilanneolosuhteet, kun käsitellään vanhempien 1.0.0, 1.0.1 ja 1.0.2 versioiden aikaisemmin korjattuja PSK-tunnistetietoja.

Versiot 1.0.2e ja 1.0.1q olivat myös julkaistiin torstaina, jotta voidaan korjata kaksi muuta kohtalaista haavoittuvuutta, jotka vaikuttavat vain 1.0.2-haaraan ja joka vaikuttaa molempiin.

1.0.1-haaran tuen odotetaan päättyvän 31.12.2016 ja 1.0. 2 sivukonttoria 31. joulukuuta 2019. Sovelluksia ja järjestelmiä, jotka edelleen perustuvat OpenSSL 0.9.8 tai 1.0.0 -ohjelmaan, olisi päivitettävä mahdollisimman pian yhteen näistä versioista, mutta tämä ei ehkä ole helppoa.

Edellinen tutkimus on osoittivat, että monet yrityksistä, jotka käyttävät talonrakennettua ohjelmistoa, pitävät huonoja kirjauksia siitä, mistä kirjaston versiosta kehittäjät käyttivät missä sovelluksissaan. Tällaisilla yrityksillä saattaa olla vaikeuksia tunnistaa, missä pian-tukemattomia OpenSSL-versioita käytetään organisaatioissa.

Kun kriittinen Heartbleed-haavoittuvuus julkistettiin huhtikuussa 2014, jopa suuret ohjelmisto- ja laitevalmistajat kestivät kuukausia tunnistaakseen, mikä heidän tuotteisiin sisältyi haavoittuvia OpenSSL-versioita.

Tämä tekee erittäin todennäköiseltä, että joitain OpenSSL 0.9.8 ja 1.0.0 -ohjelmistoja ja -sovelluksia ei koskaan päivitetä, joten ne ovat alttiina kirjastoon tuleville kriittisille haavoittuvuuksille.