研究人員最近披露稱,OpenSSL安全漏洞披露可能在更新發(fā)布前的空檔期造成更嚴重的潛在后果。
技術(shù)領(lǐng)域的斗爭可謂古來有之——Windows對Linux、emacs對vi乃至Perl對Python,而如今安全領(lǐng)域也有了自己的爭端——安全漏洞披露方式。曾幾何時,公開發(fā)布安全漏洞被作為業(yè)界共識,然而最近人們發(fā)現(xiàn)公布與OpenSSL相當之漏洞卻往往反生禍端。
攻擊者們能夠利用一套經(jīng)過精心設(shè)計的私有密鑰立足于外部讀取OpenSSL中b2i_PVK_bio()函數(shù)中的漏洞說明,Intelworks公司軟件工程師Guido Vranken在一篇博文中指出。這可能導(dǎo)致某些與漏洞及缺陷相關(guān)的內(nèi)存內(nèi)容遭到外泄。
這項安全漏洞于今年2月24號被報告至OpenSSL,但Vranken表示該項目團隊于兩天后反饋稱,這份報告連同其它近期提交的內(nèi)容需要等到下個版本發(fā)布時才能實現(xiàn)針對性調(diào)整。Vranken于3月1號通過個人博客公布了這項bug,而就在同一天OpenSSL發(fā)布了1.0.2g與1.0.1s兩個版本。“為攻擊者預(yù)留長達一個月的惡意活動周期對于保障安全顯然非常不利,”他寫道。
管理員與用戶們強調(diào)稱,他們應(yīng)當能夠第一時間了解與安全漏洞相關(guān)的信息,且無法坐等漫長的版本更新周期。誠然,有時候公開披露一項bug能夠刺激對應(yīng)企業(yè)優(yōu)先審視該問題并將其修復(fù)。
而這種情況在去年的汽車黑客事件中也曾經(jīng)出現(xiàn),當時研究人員Charlie Miller與Chris Valasek與克萊斯勒公司投入長達九個月時間以修復(fù)安全漏洞,從而避免潛在攻擊者入侵并以無線方式遙控該公司旗下的2015款切諾基車型??巳R斯勒方面在《連線》雜志發(fā)布相關(guān)報道的幾天之后,即對該款車型進行了召回。
不過OpenSSL安全漏洞的情況卻與之不同,因為該項目團隊承認了報告內(nèi)容的正確性,并表示其正在進行修復(fù),但Evranken卻強調(diào)稱該團隊表示必須“遵循既有日程安排與時間表。”
沒有更好,也沒有更糟
盡管相關(guān)問題早晚能夠得到解決,不過這項bug似乎還不足以讓OpenSSL團隊優(yōu)先著手處理。雖然Vranken并沒有在博文中提供任何與其后果或者利用途徑相關(guān)的信息,但Risk Based Security公司綜合性漏洞數(shù)據(jù)庫VulnDB已經(jīng)將其收錄進來,并指出其并不是那種需要放下現(xiàn)有工作、全力加以應(yīng)對的嚴重缺陷。
VulnDB將該缺陷的優(yōu)先級評為“高”,但其基準分數(shù)僅為7.8分,可利用性得分為8.6分,影響嚴重性得分為7.8分。這些分數(shù)基于通用薄弱性評分系統(tǒng)并納入了其它內(nèi)部分類及指標,用于確定一項已公開漏洞的利用難度以及影響嚴重性。
其嚴重程度在過去兩年中OpenSSL發(fā)現(xiàn)的約60種漏洞當中屬于“沒有更好,但也沒有更糟”的中等水平,Black Duck Software公司CTO Bill Ledingham表示。“研究人員就代碼層面向OpenSSL報告的安全漏洞在數(shù)量上已經(jīng)相當可觀。”
因此對OpenSSL來說,保證相關(guān)漏洞不為外界所知曉可能會是個好主意,其意義甚至遠大于此次曝出的特定漏洞本身。
未受到攻擊
公開披露安全漏洞的另一大重要理由在于,實際遭遇相關(guān)攻擊的管理人員能夠獲得消息并組織有針對性的應(yīng)對措施。不過此次情況卻有所不同,因為Vranken乃至VulnDB都沒發(fā)現(xiàn)過任何由該漏洞引起的實際攻擊活動。而“歸功于”此次披露,攻擊者們反而了解到了其具體細節(jié)并有可能加以實驗,這將使得防御一方很難輕松實現(xiàn)系統(tǒng)保護。
IT部門必須等待新的OpenSSL版本,而在此之前其只能祈禱自己不要受到實際攻擊的威脅。目前,在環(huán)境中使用OpenSSL的管理員們對該特定bug完全束手無策。
負責任的披露流程會耗費更長時間且相當枯燥,然而其能夠真正幫助我們提升整體安全水平——因為當漏洞細節(jié)被公諸于眾時,修復(fù)補丁也已經(jīng)同時跟上。這才是真正令人安心的問題解決方式,也是我們應(yīng)當遵循的系統(tǒng)/網(wǎng)絡(luò)保護手段。即使是最精明的IT安全專家也總會被某些軟件漏洞所蒙蔽,特別是當他們不清楚漏洞的具體利用方式、是否屬于活動威脅或者如何將其歸納為bug報告結(jié)果的情況下。
研究人員需要考量漏洞的實際影響,且不能因為其存在潛在嚴重性就簡單將其視為高危。如果安全報告反復(fù)向人們散布高危信息,大家反而會變得麻木甚至干脆忽略全部提醒——這顯然是我們IT安全從業(yè)者所不愿看到的。