Recentemente, me perguntaram por que a Stratus não estava fornecendo atualizações de segurança para clientes que executam o OpenSSL em versões do VOS anteriores à 17.0, quando ainda estamos fornecendo atualizações para clientes que executam o OpenSSL no VOS 14.7 no Continuum. À primeira vista, isso parece uma política inconsistente. Como o OpenSSL é um dos produtos mais sensíveis à segurança que oferecemos para o sistema operacional VOS, é importante entender como o gerenciamos.
Primeiro, uma breve revisão das versões do OpenSSL que oferecemos ou ainda oferecemos.
1. OpenSSL para VOS Release 1.0, baseado na versão 0.9.7c, plataforma Continuum, versão base VOS 14.7, lançado em janeiro de 2005; o OpenSSL 0.9.7c data de setembro de 2003.
2. OpenSSL para VOS Release 2.0, baseado na versão 0.9.7e, plataforma V Series, versão base VOS 15.1, lançado em agosto de 2005; o OpenSSL 0.9.7e data de outubro de 2004.
3. OpenSSL para VOS Versão 1.1, baseado na Versão 1.0.0, plataforma Continuum, versão base VOS 14.7, lançado em maio de 2011; o OpenSSL 1.0.0 data de março de 2010.
4. Pacote de segurança da Internet para OpenVOS versão 2.1 (contém OpenSSL), baseado na versão 1.0.0, versão base OpenVOS 17.0, lançado em maio de 2011.
5. OpenSSL para VOS versão 1.1.1, baseado na versão 1.0.0k, plataforma Continuum, versão base VOS 14.7, lançado em março de 2014; o OpenSSL 1.0.0k data de fevereiro de 2013.
6. Pacote de segurança da Internet para OpenVOS versão 2.1.1c (contém OpenSSL), baseado na versão 1.0.0k, plataforma da série V, versão base OpenVOS 17.0, lançado em março de 2014.
Observe que o produto foi lançado pela primeira vez em 2005, atualizado em 2001 e atualizado novamente no início deste ano. Quando atualizamos o produto, renovamos toda a base do código-fonte para a versão atual lançada pelos autores. Isso incorpora todos os novos recursos, correções de bugs e patches de segurança. Entre essas atualizações importantes, aplicamos apenas patches de segurança, correções para problemas de portabilidade ou (ocasionalmente) correções importantes de bugs.
Temos monitorado diligentemente a lista de discussão do OpenSSL para nos mantermos informados sobre o lançamento de patches de segurança. Imediatamente, criamos uma nova versão com correções de bugs contendo essas alterações e a disponibilizamos para download em http://openvos1.stratus.com. O arquivo “openssl_RELEASE_updates.memo” contém a lista de correções de segurança que aplicamos (onde a string RELEASE deve ser substituída pelo nome da versão; por exemplo, 1.1.1).
Mas só atualizamos a versão mais recente, que agora é a 1.1.1 e a 2.2.1.
Os clientes que não estão acostumados a usar software de código aberto podem não entender por que não aplicamos patches de segurança em versões anteriores mais antigas. A comunidade de código aberto age de forma bastante responsável no que diz respeito à disponibilização de patches de segurança, mas geralmente não volta no tempo para muitas versões. Em parte, isso se deve ao fato de que eles lançam muito mais versões do que nós (Stratus VOS). Em parte, isso se deve ao fato de que eles operam em um mundo em que os clientes atualizam o pacote inteiro (via RPM, APT ou YUM) com bastante facilidade. Não temos controle sobre eles e não temos controle sobre até onde eles voltam. Também não conhecemos o código deles, e esse é um ponto muito importante. Se eles não fornecem uma correção de bug ou patch de segurança para uma versão antiga, é altamente improvável que possamos criar um patch preciso por conta própria.
Portanto, optamos por atualizar as versões mais recentes de nossos produtos de código aberto quando recebemos correções de segurança. Mesmo assim, às vezes precisamos atualizar toda a base do código-fonte, em vez de apenas aplicar um patch. É por isso que atualizamos a base do código-fonte do OpenSSL 1.1.x/2.1.x em março. O OpenSSL 1.1.x e 2.1.x usam código-fonte idêntico; apenas as opções de compilação são diferentes. Essa foi uma decisão deliberada da nossa parte para simplificar a tarefa de manter as duas versões.
Os clientes que utilizam as versões anteriores do OpenSSL (1.0 e 2.0) estão usando softwares com 11 e 10 anos, respectivamente. Lançamos seus produtos sucessores em maio de 2011. Portanto, nossos clientes tiveram três anos para atualizar para as versões atuais e totalmente compatíveis do VOS e desses produtos em camadas. Certamente, esse é um tempo suficiente para qualquer cliente. É verdade que isso significa que os clientes que desejam evitar bugs como o “Heartblead” também devem acompanhar as versões do VOS, pois o OpenSSL 2.1.x requer uma versão base de pelo menos OpenVOS 17.0. Eu diria que acompanhar as revisões atuais do software é uma função básica de qualquer loja. No mundo do código aberto, isso é mais importante do que nunca.
Se você tiver alguma dúvida ou preocupação sobre isso, entre em contato com o Atendimento ao Cliente da Stratus ou com seu Executivo de Contas.