Kürzlich wurde ich gefragt, warum Stratus keine Sicherheitsupdates für Kunden Stratus , die OpenSSL auf Versionen von VOS vor 17.0 ausführen, während wir weiterhin Updates für Kunden bereitstellen, die OpenSSL auf VOS 14.7 auf Continuum ausführen. Auf den ersten Blick scheint dies eine inkonsistente Richtlinie zu sein. Da OpenSSL eines der sicherheitskritischsten Produkte ist, die wir für das Betriebssystem VOS anbieten, ist es wichtig zu verstehen, wie wir damit umgehen.
Zunächst ein kurzer Überblick über die Versionen von OpenSSL, die wir angeboten haben oder noch anbieten.
1. OpenSSL für VOS Release 1.0, basierend auf Version 0.9.7c, Continuum-Plattform, Basisversion VOS 14.7, veröffentlicht im Januar 2005; OpenSSL 0.9.7c stammt aus dem September 2003.
2. OpenSSL für VOS Release 2.0, basierend auf Version 0.9.7e, V Series , Basisversion VOS 15.1, veröffentlicht im August 2005; OpenSSL 0.9.7e stammt aus dem Oktober 2004.
3. OpenSSL für VOS Release 1.1, basierend auf Version 1.0.0, Continuum-Plattform, Basisversion VOS 14.7, veröffentlicht im Mai 2011; OpenSSL 1.0.0 stammt aus dem März 2010.
4. Internet Security Pack für OpenVOS Release 2.1 (enthält OpenSSL), basierend auf Version 1.0.0, Basisversion OpenVOS 17.0, veröffentlicht im Mai 2011.
5. OpenSSL für VOS Release 1.1.1, basierend auf Version 1.0.0k, Continuum-Plattform, Basisversion VOS 14.7, veröffentlicht im März 2014; OpenSSL 1.0.0k stammt aus dem Februar 2013.
6. Internet Security Pack für OpenVOS Release 2.1.1c (enthält OpenSSL), basierend auf Version 1.0.0k, V Series , Basisversion OpenVOS 17.0, veröffentlicht im März 2014.
Beachten Sie, dass das Produkt erstmals 2005 veröffentlicht, 2001 aktualisiert und Anfang dieses Jahres erneut aktualisiert wurde. Wenn wir das Produkt aktualisieren, aktualisieren wir die gesamte Quellcodebasis auf die aktuelle Version, die von den Autoren veröffentlicht wurde. Diese enthält alle neuen Funktionen, Fehlerbehebungen und Sicherheitspatches. Zwischen diesen größeren Updates wenden wir nur Sicherheitspatches, Korrekturen für Portierungsprobleme oder (gelegentlich) wichtige Fehlerbehebungen an.
Wir haben die OpenSSL-Mailingliste sorgfältig überwacht, um über die Veröffentlichung von Sicherheitspatches informiert zu sein. Wir haben uns sofort daran gemacht, eine neue Bugfix-Version mit diesen Änderungen zu erstellen, die unter stratus zum Download bereitsteht. Die Datei „openssl_RELEASE_updates.memo” enthält eine Liste der von uns vorgenommenen Sicherheitskorrekturen (wobei die Zeichenfolge RELEASE durch den Namen der Version ersetzt werden sollte, z. B. 1.1.1).
Wir aktualisieren jedoch nur die aktuellste Version, derzeit sind dies die Versionen 1.1.1 und 2.2.1.
Kunden, die nicht an die Verwendung von Open-Source-Software gewöhnt sind, verstehen möglicherweise nicht, warum wir keine Sicherheitspatches für ältere, frühere Versionen bereitstellen. Die Open-Source-Community verhält sich in Bezug auf die Bereitstellung von Sicherheitspatches recht verantwortungsbewusst, aber sie greift in der Regel nicht auf sehr viele frühere Versionen zurück. Dies liegt zum Teil daran, dass sie viel mehr Versionen herausbringen als wir (Stratus ). Zum Teil liegt es auch daran, dass sie in einer Welt agieren, in der Kunden das gesamte Paket (über RPM, APT oder YUM) aktualisieren und dies recht einfach tun können. Wir haben keine Kontrolle über sie und wir haben keine Kontrolle darüber, wie weit sie zurückgehen. Wir kennen auch ihren Code nicht, und das ist ein sehr wichtiger Punkt. Wenn sie keine Fehlerbehebung oder Sicherheitspatches für eine alte Version bereitstellen, ist es sehr unwahrscheinlich, dass wir selbst einen passenden Patch erstellen können.
Daher haben wir uns dafür entschieden, die aktuellsten Versionen unserer Open-Source-Produkte zu aktualisieren, sobald wir Sicherheitsupdates erhalten. Selbst dann müssen wir manchmal die gesamte Quellcodebasis aktualisieren, anstatt nur einen Patch zu installieren. Aus diesem Grund haben wir im März die Quellcodebasis für OpenSSL 1.1.x/2.1.x aktualisiert. OpenSSL 1.1.x und 2.1.x verwenden identischen Quellcode, nur die Kompilierungsoptionen unterscheiden sich. Dies war eine bewusste Entscheidung unsererseits, um die Wartung der beiden Versionen zu vereinfachen.
Kunden, die noch mit früheren Versionen von OpenSSL (1.0 und 2.0) arbeiten, verwenden Software, die bereits 11 bzw. 10 Jahre alt ist. Wir haben die Nachfolgeprodukte im Mai 2011 auf den Markt gebracht. Unsere Kunden hatten also drei Jahre Zeit, um auf die aktuellen, vollständig unterstützten Versionen von VOS und diesen mehrschichtigen Produkten umzusteigen. Das ist sicherlich ausreichend Zeit für jeden Kunden. Das bedeutet zwar, dass Kunden, die Fehler wie „Heartblead“ vermeiden möchten, auch mit den VOS-Versionen Schritt halten müssen, da OpenSSL 2.1.x mindestens die Basisversion OpenVOS 17.0 erfordert. Ich würde jedoch argumentieren, dass es zu den grundlegenden Aufgaben jedes Unternehmens gehört, mit den aktuellen Softwareversionen Schritt zu halten. In der Open-Source-Welt ist dies wichtiger denn je.
Wenn Sie Fragen oder Bedenken dazu haben, wenden Sie sich bitte an den Stratus oder Ihren Kundenbetreuer.