OpenSSL Heartbleed漏洞修復工作耗時長
責編:admin |2014-04-24 11:40:05 根據一家業界領先的漏洞研究企業給出的意見,要將Heartbleed漏洞從其盤踞的計算機以及其它設備上徹底清除出去可能需要耗時數月。Secunia是在對大量產品進行檢測并發現越來越多設備受到臭名昭著的OpenSSL安全漏洞的影響后得出這一評估警示的。
Heartbleed給Web服務器帶來的安全影響最為顯著,但同時也作用于路由器、其它網絡設備乃至企業技術體系中的多種組件之上。
而將存在漏洞的OpenSSL庫捆綁其中意味著受到Heartbleed影響的應用程序已經極為廣泛,其中包括VPN軟件、消息往來與VoIP應用等等。而且很大一部分智能手機(特別是采用Android 4.1版本的移動設備)同樣身處威脅名單當中。
Secunia公司研究負責人Kasper Lindgaard在接受采訪時指出,其它容易受到Heartbleed漏洞影響的項目還包括交換機與服務器設備。
Heartbleed遭到曝光后引發的大規模漏洞披露過程意味著“每一家廠商都在努力解決這個迫在眉睫的安全問題”,Lindgaard解釋道。小型廠商往往只需要解決少量受到影響的產品,但IT巨頭們則在應對過程中承受著巨大的壓力與挑戰。
信息安全領域在過去幾年當中發生了巨大變化,旨在應對漏洞利用者與其它針對性開發活動的不斷升溫,而這些因素對于Heartbleed乃至其它嚴重安全漏洞的曝光無疑起到顯著的負面影響,Lindgaard告訴我們。
“研究人員們開始思考‘我們還有多少時間可以浪費’,這種嚴峻的形勢敦促他們由過去的被動防御轉而采取如今的早期咨詢態度,”他解釋稱。
Lindgaard對思科與甲骨文的表現贊賞有加(事實上甲骨文過去很少受到安全研究人士的肯定),這是因為兩家企業以透明化方式公開了其應對Heartbleed漏洞的流程與進展。思科是在Heartbleed漏洞遭到披露的一周多之后才開始著手處理的,雖然反應不算敏銳、但進展卻相當穩健。
“思科已經確定其旗下的約四十四款產品中存在這項漏洞,而其它約六十八款產品的具體情況仍處于調查當中,”Lindgaard在采訪中表示。“另外根據目前的情況看,該公司只針對其中的四款產品提供修復補丁。”
Secunia公司當時曾經就Heartbleed漏洞向四十六家不同供應商發出過Heartbleed相關警示公告,其范圍涵蓋總計218款產品。但與思科不同的是,不少供應商都沒有以坦率的態度公布自身處理Heartbleed問題的進度,反而選擇了“暗箱操作”式的安全應對機制。
“大多數供應商都在努力對其受影響/未受影響的產品進行審查并在補丁發布方面取得了理想的成績,但也有不少廠商采取遮遮掩掩的態度、只在下載頁面甚至是密碼保護頁面中以寥寥數語提到相關情況,”Lindgaard解釋道。“這種作法顯然不值得提倡,缺乏開放態度的處理方式會讓人弄不清楚Heartbleed漏洞的宏觀影響范圍;除此之外,人們很可能由于沒有注意到這些隱藏或者半隱藏信息而無法正確評估自身業務環境中的安全風險。”
“這種處理方式對于供應商自身來說毫無好處,隱藏真實信息反而會增加其客戶遭遇安全風險的可能性,畢竟惡意人士一定會以無差別方式嘗試利用Heartbleed漏泄,”他補充稱。
Secunia公司將Heartbleed定性為“中等危急”水平,或者按照其十分制評判標準來看處于九分位置。之所以沒有得到最高等級評價,是因為Heartbleed不會引發遠程惡意代碼執行風險。“目前各大供應商都在推出修復補丁,不過整個處理周期絕不是數周時間就能完成的——也許需要幾個月,”Lindgaard總結道。
“這項安全漏洞將在很長一段時間里長伴我們左右并持續產生影響,”他補充稱。