OpenSSL lần đầu tiên ra mắt chính sánh bảo mật

Diem Do

Nhóm phát triển toolkit mã hóa mã nguồn mở OpenSSL phát hành chính sách bảo mật chính thức đầu tiên, bố trí các giao thức bảo mật bên trong và dự định thông báo trước đến tổ chức thực thi OpenSSL tới các bản cập nhật và sửa lỗi bảo mật sắp diễn ra.

 

Chính sách thông báo trước của OpenSSL chỉ cho phép các thông báo được gởi thông qua danh sách mail OpenSSL và trên trang chủ với lịch trình phát hành của bất kỳ bản cập nhật nào cũng như mức độ nghiêm trọng của bất kỳ vấn đề gì đang được sửa chữa. Đối với những vấn đề được gọi là “ở mức độ nghiêm trọng cao”, chi tiết về các bản vá lỗi sẽ được gởi đi. Tuy nhiên, nhóm sẽ không cho phép nâng cấp thông báo trong thị trường cũng như những lợi thế cạnh tranh  với bất kì chi phí nào.

 

0909.sdt-openssl

 

“Chính sách của chúng tôi là để cho các tổ chức có hệ điều hành sử dụng OpenSSL trong vài ngày để chuẩn bị ra các gói cho người dùng và các phản hồi từ các kết quả kiểm thử”, chính sách giới thiệu như vậy.

 

Các vấn đề bảo mật OpenSSL hiện nay được phân thành 3 loại, chỉ rõ vấn đề được xử lý như thế nào trong nội bộ hoặc là vẫn để cho những thông báo nâng cao ở chế độ bảo mật cho từng cá nhân hoặc công bố công khai để phân phối. Có 3 loại là:

 

– Các vấn đề bảo mật ở mức thấp: bao gồm những gì chỉ ảnh hưởng đến tính tiện ích của dòng lệnh OpenSSL, không giống như việc cấu hình hay khó để khai thác thời gian tấn công. Chúng sẽ được sửa ngay lập tức trong phiên bản phát triển mới nhất, có thể được “backport” đến những phiên bản cữ hơn vẫn có thể được cập nhật. Nhóm OpenSSL sẽ cập nhật trang có lỗ hổng và thông báo vấn đề CVE trong các tin nhắn xác nhận hay changelog, nhưng có thể không ra mắt phiên bản mới.

 

– Các vấn đề bảo mật ở mức vừa phải: bao gồm việc “crash” trong những ứng dụng client, các lỗ hổng trong giao thức ít được sử dụng phổ biến như là giao thức DTLS và các lỗ hổng trong local. Nhìn chung phải đảm bảo bí mật cho tới khi phiên bản kế tiếp được phát hành theo kế hoạch đã được sắp xếp vì vậy có thể tại một thời điểm nào đó, có thể xuất hiện một số lỗ hổng sai sót.

 

– Các vấn đề bảo mật ở mức độ cao: gồm những vấn đề ảnh hưởng đến việc cấu hình phổ biến giống như có khả năng bị khai thác thông tin. Chẳng hạn như một cuộc tấn công ngăn chặn dịch vụ của máy chủ, rò rĩ thông tin từ bộ nhớ máy chủ và điều khiển thực thi code từ xa. Nhóm làm việc đã hứa rằng phải giữ cho những vấn đề bảo mật ở mức độ cao để hạn chế rủi ro ở mức thấp nhất, được tiết lộ trong khoảng 1 tháng từ khi họ nhìn thấy các rủi ro bảo mật “dưới tầm kiểm soát của họ” hay sớm hơn nếu có rủi ro “nghiêm trọng” được tìm thấy.

 

Chính sách bảo mật của OpenSSL được công bố cùng với các giao thức mới bởi nhóm nghiên cứu.

Chia sẻ bài viết ngay

Nguồn bài viết : sdtimes.com