Video: wow.. ada kapas di dalam gigi saat perawatan saluran akar di dokter gigi spesialis konservasi gigi (Desember 2024)
Ada versi baru OpenSSL, dan, ya, ternyata versi sebelumnya dari paket keamanan memiliki beberapa kerentanan serius. Namun, kekurangan ini ditemukan adalah hal yang baik; kami tidak melihat bencana proporsi Heartbleed.
Sekilas, penasihat OpenSSL yang mencantumkan ketujuh kerentanan yang telah diperbaiki di OpenSSL tampaknya merupakan daftar yang menakutkan. Salah satu kelemahan, jika dieksploitasi, dapat memungkinkan penyerang untuk melihat dan memodifikasi lalu lintas antara klien OpenSSL dan server OpenSSL dalam serangan man-in-the-middle. Masalahnya ada pada semua versi klien OpenSSL dan server 1.0.1 atau 1.0.2-beta1. Agar serangan berhasil - dan cukup rumit untuk memulainya - versi klien dan server yang rentan harus ada.
Meskipun tingkat masalahnya sangat terbatas, mungkin Anda khawatir tentang terus menggunakan perangkat lunak dengan OpenSSL. Pertama, Heartbleed. Sekarang, serangan man-in-the-middle. Berfokus pada fakta bahwa OpenSSL memiliki bug (perangkat lunak apa yang tidak?) Melewatkan titik yang sangat kritis: Mereka sedang ditambal.
Lebih Banyak Mata, Lebih Aman
Fakta bahwa pengembang mengungkapkan bug ini - dan memperbaikinya - meyakinkan, karena itu berarti kami memiliki lebih banyak bola mata pada kode sumber OpenSSL. Semakin banyak orang yang meneliti setiap jalur untuk potensi kerentanan. Setelah pengungkapan bug Heartbleed awal tahun ini, banyak orang terkejut menemukan proyek tidak memiliki banyak dana atau banyak pengembang yang berdedikasi meskipun digunakan secara luas.
"Itu [OpenSSL] layak mendapat perhatian dari komunitas keamanan yang diterimanya sekarang, " kata Wim Remes, managing director untuk IOActive.
Sebuah konsorsium raksasa teknologi, termasuk Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel, dan Cisco, bergabung bersama dengan Linux Foundation untuk membentuk Core Infrastructure Initiative (CII). CII mendanai proyek sumber terbuka untuk menambah pengembang penuh waktu, melakukan audit keamanan, dan meningkatkan infrastruktur pengujian. OpenSSL adalah proyek pertama yang didanai di bawah CII; Network Time Protocol dan OpenSSH juga didukung.
"Komunitas telah bangkit menghadapi tantangan untuk memastikan bahwa OpenSSL menjadi produk yang lebih baik dan bahwa masalah ditemukan dan diperbaiki dengan cepat, " kata Steve Pate, kepala arsitek di HyTrust.
Haruskah Anda Khawatir?
Jika Anda seorang administrator sistem, Anda harus memperbarui OpenSSL. Lebih banyak bug akan ditemukan dan diperbaiki, sehingga administrator harus mengawasi patch untuk tetap memperbarui perangkat lunak.
Bagi sebagian besar konsumen, tidak ada yang perlu dikhawatirkan. Untuk mengeksploitasi bug, OpenSSL perlu hadir di kedua ujung komunikasi, dan itu biasanya tidak terjadi di Web browsing, kata Ivan Ristic, direktur teknik di Qualys. Browser desktop tidak bergantung pada OpenSSL, dan, meskipun browser Web stok pada perangkat Android dan Chrome untuk Android sama-sama menggunakan OpenSSL. "Kondisi yang diperlukan untuk eksploitasi agak sulit ditemukan, " kata Ristic. Fakta bahwa eksploitasi membutuhkan posisi manusia di tengah adalah "membatasi, " katanya.
OpenSSL sering digunakan dalam utilitas baris perintah dan untuk akses terprogram, sehingga pengguna perlu memperbarui segera. Dan aplikasi perangkat lunak apa pun yang mereka gunakan yang menggunakan OpenSSL harus diperbarui segera setelah versi baru tersedia.
Perbarui perangkat lunak dan "bersiaplah untuk pembaruan yang sering di masa depan OpenSSL karena ini bukan bug terakhir yang akan ditemukan dalam paket perangkat lunak ini, " memperingatkan Wolfgang Kandek, CTO dari Qualys.