研究人員最近披露稱,OpenSSL安全漏洞披露可能在更新發(fā)布前的空檔期造成更嚴(yán)重的潛在后果。
技術(shù)領(lǐng)域的斗爭可謂古來有之——Windows對Linux、emacs對vi乃至Perl對Python,而如今安全領(lǐng)域也有了自己的爭端——安全漏洞披露方式。曾幾何時(shí),公開發(fā)布安全漏洞被作為業(yè)界共識,然而最近人們發(fā)現(xiàn)公布與OpenSSL相當(dāng)之漏洞卻往往反生禍端。
攻擊者們能夠利用一套經(jīng)過精心設(shè)計(jì)的私有密鑰立足于外部讀取OpenSSL中b2i_PVK_bio()函數(shù)中的漏洞說明,Intelworks公司軟件工程師Guido Vranken在一篇博文中指出。這可能導(dǎo)致某些與漏洞及缺陷相關(guān)的內(nèi)存內(nèi)容遭到外泄。
這項(xiàng)安全漏洞于今年2月24號被報(bào)告至OpenSSL,但Vranken表示該項(xiàng)目團(tuán)隊(duì)于兩天后反饋稱,這份報(bào)告連同其它近期提交的內(nèi)容需要等到下個(gè)版本發(fā)布時(shí)才能實(shí)現(xiàn)針對性調(diào)整。Vranken于3月1號通過個(gè)人博客公布了這項(xiàng)bug,而就在同一天OpenSSL發(fā)布了1.0.2g與1.0.1s兩個(gè)版本。“為攻擊者預(yù)留長達(dá)一個(gè)月的惡意活動(dòng)周期對于保障安全顯然非常不利,”他寫道。
管理員與用戶們強(qiáng)調(diào)稱,他們應(yīng)當(dāng)能夠第一時(shí)間了解與安全漏洞相關(guān)的信息,且無法坐等漫長的版本更新周期。誠然,有時(shí)候公開披露一項(xiàng)bug能夠刺激對應(yīng)企業(yè)優(yōu)先審視該問題并將其修復(fù)。
而這種情況在去年的汽車黑客事件中也曾經(jīng)出現(xiàn),當(dāng)時(shí)研究人員Charlie Miller與Chris Valasek與克萊斯勒公司投入長達(dá)九個(gè)月時(shí)間以修復(fù)安全漏洞,從而避免潛在攻擊者入侵并以無線方式遙控該公司旗下的2015款切諾基車型。克萊斯勒方面在《連線》雜志發(fā)布相關(guān)報(bào)道的幾天之后,即對該款車型進(jìn)行了召回。
不過OpenSSL安全漏洞的情況卻與之不同,因?yàn)樵擁?xiàng)目團(tuán)隊(duì)承認(rèn)了報(bào)告內(nèi)容的正確性,并表示其正在進(jìn)行修復(fù),但Evranken卻強(qiáng)調(diào)稱該團(tuán)隊(duì)表示必須“遵循既有日程安排與時(shí)間表。”
沒有更好,也沒有更糟
盡管相關(guān)問題早晚能夠得到解決,不過這項(xiàng)bug似乎還不足以讓OpenSSL團(tuán)隊(duì)優(yōu)先著手處理。雖然Vranken并沒有在博文中提供任何與其后果或者利用途徑相關(guān)的信息,但Risk Based Security公司綜合性漏洞數(shù)據(jù)庫VulnDB已經(jīng)將其收錄進(jìn)來,并指出其并不是那種需要放下現(xiàn)有工作、全力加以應(yīng)對的嚴(yán)重缺陷。
VulnDB將該缺陷的優(yōu)先級評為“高”,但其基準(zhǔn)分?jǐn)?shù)僅為7.8分,可利用性得分為8.6分,影響嚴(yán)重性得分為7.8分。這些分?jǐn)?shù)基于通用薄弱性評分系統(tǒng)并納入了其它內(nèi)部分類及指標(biāo),用于確定一項(xiàng)已公開漏洞的利用難度以及影響嚴(yán)重性。
其嚴(yán)重程度在過去兩年中OpenSSL發(fā)現(xiàn)的約60種漏洞當(dāng)中屬于“沒有更好,但也沒有更糟”的中等水平,Black Duck Software公司CTO Bill Ledingham表示。“研究人員就代碼層面向OpenSSL報(bào)告的安全漏洞在數(shù)量上已經(jīng)相當(dāng)可觀。”
因此對OpenSSL來說,保證相關(guān)漏洞不為外界所知曉可能會(huì)是個(gè)好主意,其意義甚至遠(yuǎn)大于此次曝出的特定漏洞本身。
未受到攻擊
公開披露安全漏洞的另一大重要理由在于,實(shí)際遭遇相關(guān)攻擊的管理人員能夠獲得消息并組織有針對性的應(yīng)對措施。不過此次情況卻有所不同,因?yàn)閂ranken乃至VulnDB都沒發(fā)現(xiàn)過任何由該漏洞引起的實(shí)際攻擊活動(dòng)。而“歸功于”此次披露,攻擊者們反而了解到了其具體細(xì)節(jié)并有可能加以實(shí)驗(yàn),這將使得防御一方很難輕松實(shí)現(xiàn)系統(tǒng)保護(hù)。
IT部門必須等待新的OpenSSL版本,而在此之前其只能祈禱自己不要受到實(shí)際攻擊的威脅。目前,在環(huán)境中使用OpenSSL的管理員們對該特定bug完全束手無策。
負(fù)責(zé)任的披露流程會(huì)耗費(fèi)更長時(shí)間且相當(dāng)枯燥,然而其能夠真正幫助我們提升整體安全水平——因?yàn)楫?dāng)漏洞細(xì)節(jié)被公諸于眾時(shí),修復(fù)補(bǔ)丁也已經(jīng)同時(shí)跟上。這才是真正令人安心的問題解決方式,也是我們應(yīng)當(dāng)遵循的系統(tǒng)/網(wǎng)絡(luò)保護(hù)手段。即使是最精明的IT安全專家也總會(huì)被某些軟件漏洞所蒙蔽,特別是當(dāng)他們不清楚漏洞的具體利用方式、是否屬于活動(dòng)威脅或者如何將其歸納為bug報(bào)告結(jié)果的情況下。
研究人員需要考量漏洞的實(shí)際影響,且不能因?yàn)槠浯嬖跐撛趪?yán)重性就簡單將其視為高危。如果安全報(bào)告反復(fù)向人們散布高危信息,大家反而會(huì)變得麻木甚至干脆忽略全部提醒——這顯然是我們IT安全從業(yè)者所不愿看到的。
京公網(wǎng)安備 11010502049343號