Recientemente me preguntaron por qué Stratus no proporcionaba actualizaciones de seguridad a los clientes que ejecutaban OpenSSL en versiones de VOS anteriores a la 17.0, cuando todavía estamos proporcionando actualizaciones a los clientes que ejecutan OpenSSL en VOS 14.7 en Continuum. A primera vista, esto parece una política inconsistente. Dado que OpenSSL es uno de los productos más sensibles a la seguridad que ofrecemos para el sistema operativo VOS, es importante entender cómo lo gestionamos.
Primero, una breve reseña de las versiones de OpenSSL que hemos ofrecido, o aún ofrecemos.
1. OpenSSL para VOS versión 1.0, basado en la versión 0.9.7c, plataforma Continuum, versión base VOS 14.7, publicada en enero de 2005; OpenSSL 0.9.7c data de septiembre de 2003.
2. OpenSSL para la versión 2.0 del VOS, basado en la versión 0.9.7e, plataforma V Series , versión base VOS 15.1, publicada en agosto de 2005; OpenSSL 0.9.7e data de octubre de 2004.
3. OpenSSL para VOS versión 1.1, basado en la versión 1.0.0, plataforma Continuum, versión base VOS 14.7, lanzada en mayo de 2011; OpenSSL 1.0.0 data de marzo de 2010.
4. Paquete de seguridad para Internet para la versión 2.1 de OpenVOS (contiene OpenSSL), basado en la versión 1.0.0, versión base OpenVOS 17.0, publicada en mayo de 2011.
5. OpenSSL para la versión 1.1.1 del VOS, basado en la versión 1.0.0k, plataforma Continuum, versión base VOS 14.7, lanzada en marzo de 2014; OpenSSL 1.0.0k data de febrero de 2013.
6. Paquete de seguridad para Internet para la versión 2.1.1c de OpenVOS (contiene OpenSSL), basado en la versión 1.0.0k, plataforma V Series , versión base OpenVOS 17.0, publicada en marzo de 2014.
Obsérvese que el producto se lanzó por primera vez en 2005, se actualizó en 2001 y se actualizó de nuevo a principios de este año. Cuando actualizamos el producto, refrescamos todo el código fuente hasta la versión actual publicada por los autores. Esto incorpora todas las nuevas características, correcciones de errores y parches de seguridad. Entre estas actualizaciones principales, sólo aplicamos parches de seguridad, correcciones a problemas de portabilidad o (ocasionalmente) importantes correcciones de errores.
Hemos sido diligentes en el seguimiento de la lista de correo de OpenSSL para saber de la liberación de los parches de seguridad. Inmediatamente nos propusimos crear una nueva versión de corrección de errores que contuviera esos cambios, y la pusimos a disposición para su descarga en http://openvos1.stratus.com. El archivo "openssl_RELEASE_updates.memo" contiene la lista de correcciones de seguridad que hemos aplicado (donde la cadena RELEASE debería ser reemplazada por el nombre de la versión; por ejemplo, 1.1.1).
Pero sólo actualizamos la versión más actual, que ahora es la 1.1.1 y la 2.2.1.
Los clientes que no están acostumbrados a usar software de código abierto pueden no entender por qué no aplicamos parches de seguridad a versiones anteriores. La comunidad de código abierto se comporta de manera bastante responsable con respecto a la disponibilidad de parches de seguridad, pero generalmente no retroceden en el tiempo para muchas versiones. En parte, esto se debe a que publican muchas más versiones que nosotros (Stratus VOS). Parcialmente, es porque operan en un mundo en el que los clientes actualizan el paquete completo (vía RPM, APT, o YUM), y lo hacen con bastante facilidad. No tenemos ningún control sobre ellos, y no tenemos ningún control sobre cuán lejos se remontan. Tampoco conocemos su código, y este es un punto muy importante. Si no proporcionan una corrección de errores o un parche de seguridad para una versión antigua, es muy poco probable que podamos crear un parche preciso por nuestra cuenta.
Por lo tanto, hemos elegido actualizar las versiones más recientes de nuestros productos de código abierto cuando recibimos correcciones de seguridad. Incluso entonces, a veces tenemos que actualizar toda la base de código fuente, en lugar de tomar sólo un parche. Es por eso que acabamos de actualizar la base de código fuente de OpenSSL 1.1.x/2.1.x en marzo por esta misma razón. OpenSSL 1.1.x y 2.1.x usan código fuente idéntico; sólo las opciones de compilación son diferentes. Esta fue una decisión deliberada por nuestra parte para simplificar la tarea de mantener las dos versiones.
Los clientes que están en las versiones anteriores de OpenSSL (1.0 y 2.0) están usando software que tiene 11 y 10 años de antigüedad, respectivamente. Lanzamos sus productos sucesores en mayo de 2011. Por lo tanto, nuestros clientes han tenido 3 años para actualizar a las actuales versiones de VOS y de estos productos en capas. Seguramente eso es tiempo suficiente para cualquier cliente. Cierto, esto significa que los clientes que deseen evitar errores como "Heartblead" deben mantenerse al día con los lanzamientos de VOS, también, ya que OpenSSL 2.1.x requiere un lanzamiento base de al menos OpenVOS 17.0. Yo diría que mantenerse al día con las revisiones actuales del software es una función básica de cualquier tienda. En el mundo del código abierto, es más importante que nunca.
Si tiene alguna pregunta o inquietud al respecto, póngase en contacto con el Servicio de Atención al Cliente Stratus , o con su Ejecutivo de Cuentas.
Empresa