Recentemente me perguntaram por que a Stratus não estava fornecendo atualizações de segurança para clientes rodando OpenSSL em lançamentos de VOS anteriores a 17.0, quando ainda estamos fornecendo atualizações para clientes rodando OpenSSL no VOS 14.7 no Continuum. À primeira vista, esta parece ser uma política inconsistente. Como o OpenSSL é um dos produtos mais sensíveis à segurança que oferecemos para o sistema operacional VOS, é importante entender como o administramos.
Primeiro, uma breve revisão das versões do OpenSSL que oferecemos, ou ainda oferecemos.
1. OpenSSL for VOS Release 1.0, baseado na versão 0.9.7c, plataforma Continuum, Release Base VOS 14.7, lançado em janeiro de 2005; OpenSSL 0.9.7c data de setembro de 2003.
2. OpenSSL for VOS Release 2.0, baseado na versão 0.9.7e, plataforma Série V, Release Base VOS 15.1, lançado em agosto de 2005; OpenSSL 0.9.7e data de outubro de 2004.
3. OpenSSL for VOS Release 1.1, baseado na versão 1.0.0, plataforma Continuum, Release Base VOS 14.7, lançado em maio de 2011; OpenSSL 1.0.0 data de março de 2010.
4. Internet Security Pack for OpenVOS Release 2.1 (contém OpenSSL), baseado na Versão 1.0.0, Release Base OpenVOS 17.0, lançado em maio de 2011.
5. OpenSSL for VOS Release 1.1.1, baseado na versão 1.0.0k, plataforma Continuum, Release Base VOS 14.7, lançado em março de 2014; OpenSSL 1.0.0k data de fevereiro de 2013.
6. Internet Security Pack for OpenVOS Release 2.1.1c (contém OpenSSL), baseado na versão 1.0.0k, plataforma Série V, Release Base OpenVOS 17.0, lançado em março de 2014.
Note que o produto foi lançado pela primeira vez em 2005, atualizado em 2001, e atualizado novamente no início deste ano. Quando atualizamos o produto, atualizamos toda a base de código fonte para a versão atual que foi lançada pelos autores. Isto incorpora todas as novas características, correções de bugs e patches de segurança. Entre estas atualizações principais, aplicamos apenas patches de segurança, correções em questões de portabilidade, ou (ocasionalmente) correções de bugs importantes.
Temos sido diligentes no monitoramento da lista de correio OpenSSL para saber da liberação dos patches de segurança. Imediatamente nos propusemos a criar uma nova versão de correção de erros contendo essas alterações, e a disponibilizamos para download em http://openvos1.stratus.com. O arquivo "openssl_RELEASE_updates.memo" contém a lista de correções de segurança que aplicamos (onde a string RELEASE deve ser substituída pelo nome da versão; por exemplo, 1.1.1).
Mas atualizamos apenas a versão mais atual, que é agora as versões 1.1.1 e 2.2.1.
Os clientes que não estão acostumados a usar software de código aberto podem não entender porque não aplicamos patches de segurança a versões anteriores mais antigas. A comunidade de código aberto se comporta de forma bastante responsável com relação à disponibilização de patches de segurança, mas eles geralmente não voltam no tempo para muitas versões. Em parte, isto se deve ao fato de eles lançarem muitos outros lançamentos que nós (Stratus VOS) lançamos. Em parte, é porque eles operam em um mundo onde os clientes atualizam o pacote inteiro (via RPM, APT, ou YUM), e o fazem com bastante facilidade. Não temos controle sobre eles, e não temos controle sobre até onde eles voltam. Também não conhecemos seu código, e este é um ponto muito importante. Se eles não fornecerem uma correção de erros ou um patch de segurança para uma versão antiga, é altamente improvável que possamos criar um patch preciso por nossa conta.
Portanto, optamos por atualizar os lançamentos mais atuais de nossos produtos de código aberto quando obtemos correções de segurança. Mesmo assim, às vezes temos que atualizar toda a base de código fonte, em vez de pegar apenas uma correção. É por isso que acabamos de atualizar a base de código fonte do OpenSSL 1.1.x/2.1.x em março por esta mesma razão. OpenSSL 1.1.x e 2.1.x usam códigos-fonte idênticos; apenas as opções de compilação são diferentes. Esta foi uma decisão deliberada de nossa parte para simplificar a tarefa de manter as duas versões.
Os clientes que estão nos lançamentos anteriores do OpenSSL (1.0 e 2.0) estão usando software que tem 11 e 10 anos, respectivamente. Lançamos seus produtos sucessores em maio de 2011. Assim, nossos clientes tiveram 3 anos para atualizar para os lançamentos atuais, totalmente suportados de VOS e destes produtos em camadas. Certamente, isso é tempo de sobra para qualquer cliente. É verdade, isto significa que os clientes que desejam evitar bugs como "Heartblead" também devem acompanhar os lançamentos de VOS, pois o OpenSSL 2.1.x exige um lançamento base de pelo menos OpenVOS 17.0. Eu argumentaria que acompanhar as atuais revisões de software é uma função básica de qualquer loja. No mundo de código aberto, ela é mais importante do que nunca.
Se você tiver qualquer dúvida ou preocupação sobre isto, entre em contato com o Serviço de Atendimento ao Cliente Stratus, ou com seu Executivo de Contas.