Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 18.3.2004

Haavoittuvuuksia OpenSSL-salauskirjastossa

CERT-FI varoittaa avoimeen lähdekoodiin perustuvasta OpenSSL-protokollatoteutuksesta löytyneistä haavoittuvuuksista, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista kohdistaa kohdetietojärjestelmään palvelunestohyökkäys. OpenSSL-kehittäjäryhmä löysi haavoittuvuudet Codenomicon TLS -testausohjelmiston avulla.

Haavoittuvuudet on paikattu OpenSSL-kirjaston 0.9.7d- ja 0.9.6m-versioihin, mutta näitä vanhemmat versiot ovat haavoittuvuuksille alttiita.

Edellinen vakava OpenSSL-kirjastosta löytynyt haavoittuvuus on viime lokakuulta, mutta tällöin CERT-FI:n varoitus koski yleisesti myös muiden valmistajien TLS- ja SSL-protokollatoteutuksia.

Lue juttu oma, 18.3.2004 00:13. Lähde: openssl.org

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 14 uutta / 14 )
pistettä.
Näytä vain kommentit joilla on vähintään
Taas?
Anonyymi kommentoija, 18.3.2004 01:50:51		 Pisteet: 0
Tuntuuko vaan vai onko SSL-salauksessa jatkuvasti bugeja?!
Re: Taas?
eXeonical, 18.3.2004 07:42:51		 Pisteet: 0
Tuntuuko vaan vai onko SSL-salauksessa jatkuvasti bugeja?!
Kenties paras vastaus olisi: Ohjelmistot ovat ihmisten tekemiä ja siksi epätäydellisiä. Ja tuo bugihan oli ilmeisesti OpenSSL ohjelmistossa eikä SSL salausteknologiassa.
Re: Taas?
Anonyymi kommentoija, 19.3.2004 10:44:59		 Pisteet: 0
Tuntuuko vaan vai onko SSL-salauksessa jatkuvasti bugeja?!
Kenties paras vastaus olisi: Ohjelmistot ovat ihmisten tekemiä ja siksi epätäydellisiä. Ja tuo bugihan oli ilmeisesti OpenSSL ohjelmistossa eikä SSL salausteknologiassa.
Kunhan muistat tuon saman selityksen, kun morkataan MS:n tuotteita.
Re: Taas?
eXeonical, 21.3.2004 13:44:42		 Pisteet: 0
Kunhan muistat tuon saman selityksen, kun morkataan MS:n tuotteita.
Kyllä muistan, älä huoli.
Versionumero kertoo jo jotain
Masa, 18.3.2004 10:02:19		 Pisteet: +1
Jotkut ihmiset tuntuvat mielellään rutisevat aina OpenSSL:n bugi-ilmoitusten aikaan siitä, miten reikäinen tai haavoittuva OpenSSL-kirjasto on. Ilmeisesti tällaisten henkilöiden päähän ei uppoa se fakta, että OpenSSL-kirjasto on edelleen versioitu 0.x.x:ksi ihan sen takia, etteivät edes kehittäjät pidä kirjastoa täysin valmiina tuotantokäyttöön. Ei se nolla siinä versionumeron alussa koristekaan ole.

Mielenkiintoista muuten on se, että OpenSSL on käytössä useissakin kaupallisissa sovelluksissa ja kirjastoon luotetaan suorastaan pelottavan sokeasti. Kenellekään, jonka tuotteet tukeutuvat OpenSSL:ään vahvasti, ei ilmeisesti ole tullut mieleen auttaa saamaan tuota versionumeroa hilattua yli ykkösen, koska OpenSSL:stä on julkaistu noita 0.x-versioita jo vuosia vaikka kirjasto on jo varsin laajalle levinnyt.

Hatunnosto OpenSSL-ryhmälle siitä, etteivät he sorru ylioptimistiseen markkinointiin kirjastonsa kanssa vaan uskaltavat versionumerollaan viestittää, ettei tuote ole vielä valmis. Toisen hatunnoston he kyllä ovat ansainneet siitä, että 0.x-versioksi tuo kirjasto on kyllä mielestäni varsin laadukas.
Re: Versionumero kertoo jo jotain
Anonyymi kommentoija, 18.3.2004 10:41:04		 Pisteet: 0
Jotkut ihmiset tuntuvat mielellään rutisevat aina OpenSSL:n bugi-ilmoitusten aikaan siitä, miten reikäinen tai haavoittuva OpenSSL-kirjasto on. Ilmeisesti tällaisten henkilöiden päähän ei uppoa se fakta, että OpenSSL-kirjasto on edelleen versioitu 0.x.x:ksi ihan sen takia, etteivät edes kehittäjät pidä kirjastoa täysin valmiina tuotantokäyttöön. Ei se nolla siinä versionumeron alussa koristekaan ole.
Toisin sanoen jos ei koskaan oteta sitä nollaa sieltä alusta pois niin voidaan julkaista reikäistä koodia ikuisuuksiin asti?
IMHO bugeista yms. saa/pitää rutista jos nitä löytyy tietoturvaan tjsp. liittyvistä sofista oli niiden versio sitten vaikka 0.0.0.0.0.0.127.0.0.1
Datamike Re: Versionumero kertoo jo jotain
Datamike, 18.3.2004 11:05:14		 Pisteet: 0
IMHO bugeista yms. saa/pitää rutista jos nitä löytyy tietoturvaan tjsp. liittyvistä sofista oli niiden versio sitten vaikka 0.0.0.0.0.0.127.0.0.1
Tottakai rutista saa, bugeja saa etsiä, ja niistä saa ilmoittaa. Mutta loppujenlopuksi jokainen ylläpitäjä ja tietokoneenkäyttäjä on itse vastuussa siitä mitä ohjelmia tietokoneessaan ajaa. Nykyään voi sanoa ihan hyvällä mielellä että vaihtoehtoisia ohjelmitoja löytyy lähes aina. Jokaisella ylläpitäjällä pitäisi olla sen verran omaa harkintakykyä että tietää jos softa on versiossa 0.x.x niin varovainen saisi olla. Tai jos versio on 3.0b niin kannattaa ehkä odottaa sen päivityksen kanssa.

En vähättele sitä että bugeja pitäisi olla mahdollisimman vähän eikä epävalmiita softia kuuluisi olla liikenteessä niin paljon, mutta älä myöskään kärjistä asiaa.
"Given enough eyeballs, all bugs are shallow."
Re: Versionumero kertoo jo jotain
eXeonical, 21.3.2004 13:38:25		 Pisteet: +1
Jotkut ihmiset tuntuvat mielellään rutisevat aina OpenSSL:n bugi-ilmoitusten aikaan siitä, miten reikäinen tai haavoittuva OpenSSL-kirjasto on. Ilmeisesti tällaisten henkilöiden päähän ei uppoa se fakta, että OpenSSL-kirjasto on edelleen versioitu 0.x.x:ksi ihan sen takia, etteivät edes kehittäjät pidä kirjastoa täysin valmiina tuotantokäyttöön. Ei se nolla siinä versionumeron alussa koristekaan ole.
No jaa, eihän versionumeron tarkoitus ole kuin erottaa ohjelmiston eri versiot toisistaan, joten jos perustaa käsityksensä ohjelmiston kyvykkyydestä siihen nollaan versionumeron alussa niin on jokseenkin heikoilla jäillä.

Mielenkiintoista muuten on se, että OpenSSL on käytössä useissakin kaupallisissa sovelluksissa ja kirjastoon luotetaan suorastaan pelottavan sokeasti. Kenellekään, jonka tuotteet tukeutuvat OpenSSL:ään vahvasti, ei ilmeisesti ole tullut mieleen auttaa saamaan tuota versionumeroa hilattua yli ykkösen, koska OpenSSL:stä on julkaistu noita 0.x-versioita jo vuosia vaikka kirjasto on jo varsin laajalle levinnyt.
Kuten sanottua, ykkonen versionumeron edessä ei tarkoita muuta kuin että joku on halunnut laittaa sen siihen eteen. Yleensähän ohjelmistoyrityksillä on tarve ilmoittaa "suuremmasta" uudistuksesta ensimmäistä versionumeroa nostamalla, ja siten luomalla päivitystarvetta "tyhjästä". Joskus tietysti uudistuksia on oikeastikkin. Kuitenkaan OpenSource projekteilla ei tällaista tarvetta ole, joten versionumeroja monesti kasvatetaan yksi kerrallaan.

Hatunnosto OpenSSL-ryhmälle siitä, etteivät he sorru ylioptimistiseen markkinointiin kirjastonsa kanssa vaan uskaltavat versionumerollaan viestittää, ettei tuote ole vielä valmis. Toisen hatunnoston he kyllä ovat ansainneet siitä, että 0.x-versioksi tuo kirjasto on kyllä mielestäni varsin laadukas.attavaksi.
Perustatko muuten käsityksesi OpenSSL kirjaston keskeneräisyydestä johonkin muuhunkin kuin versionumeroon? Sillä tuo versionumero tuntuu aika kantavalta ajatukselta tässä viestissäsi.
Re: Versionumero kertoo jo jotain
Anonyymi kommentoija, 22.3.2004 01:16:38		 Pisteet: 0
No jaa, eihän versionumeron tarkoitus ole kuin erottaa ohjelmiston eri versiot toisistaan, joten jos perustaa käsityksensä ohjelmiston kyvykkyydestä siihen nollaan versionumeron alussa niin on jokseenkin heikoilla jäillä.
Joillakin kaupallisilla ohjelmistoilla on tapana vaatia uutta lisenssimaksia, kun version ensimmäistä numeroa muutetaan. Ja bugit korjataan vain tuohon uuteen versioon.
Re: Versionumero kertoo jo jotain
Masa, 21.3.2004 22:19:22		 Pisteet: +1
Perustatko muuten käsityksesi OpenSSL kirjaston keskeneräisyydestä johonkin muuhunkin kuin versionumeroon? Sillä tuo versionumero tuntuu aika kantavalta ajatukselta tässä viestissäsi.
Versionumero oli kantava ajatus, koska OpenSSL:n versionumerointi on käsitykseni mukaan tarkoitettu nimenomaan heijastamaan kirjaston valmiutta. Tästä on OpenSSL:n sähköpostilistoilla väännetty kättä jo vuosia sitten. Kehittäjät ovat yleisesti sitä mieltä, että kirjasto on luotettava, mutta jotta sitä uskaltaisi kutsua 1.0-versioksi, on tehtävä vielä joukko korjauksia (binääryhteensopivuuden takaaminen versioiden välillä, joidenkin rutiinien uudelleenkirjoittamista).

OpenSSL-kirjaston tietä kohti 1.0-versiota voi ihailla osoitteessa http://www.aet.tu-cottbus.de/rt2/NoAuth/Buglist.ht... ja tuosta versionumeroinnista voi lukea postitulistalta mm. täältä: http://www.mail-archive.com/openssl-dev@openssl.or... (viesti ja sen vastaukset käsittelevät mm. sitä, miten valmis kirjasto on ja mitä kaikkea vielä pitää tehdä, sekä syitä, miksei kirjasto ole saavuttanut 1.0-version statusta. Keskustelu on vuodelta 2000.)

Joka tapauksessa pointtini alkuperäisessä viestissä oli se, että vaikkei OpenSSL-kehittäjätiimi olekaan erityisesti luvannut tai mainostanut kovaäänisesti kirjastonsa olevan bugiton, tulee kriitikoiden kommenteista minulle mielikuva, että arvostelijat erityisesti odottaisivat kirjaston olevan jotenkin absoluuttisen virheetön. Totta on, että kirjastoa käytetään sovelluksissa ja tietoturva on vakavasti otettava asia, mutta ymmärtäisin kitkerän kritiikin olevan ansaitumpaa, jos OpenSSL:n sivuilla erityisesti hehkutettaisiin kirjaston olevan vertaansa vaikka vakaudessa ja bugittomuudessa. Tarkoitukseni alkupeäisessä viestissä siis oli vain palauttaa ihmisiä maanpinnalle (ja kainosti huomauttaa, että kyseessä _on_ OSS-tuote, jonka kehittämisessä ja bugien siivoamisessa saa jokainen halukas auttaa sen sijaan, että sitä vain pilkattaisiin).