On m'a récemment demandé pourquoi Stratus ne fournissait pas de mises à jour de sécurité pour les clients utilisant OpenSSL sur les versions de VOS antérieures à 17.0, alors que nous fournissons toujours des mises à jour aux clients utilisant OpenSSL sur VOS 14.7 sur Continuum. À première vue, cela semble être une politique incohérente. Comme OpenSSL est l'un des produits les plus sensibles en matière de sécurité que nous proposons pour le système d'exploitation VOS, il est important de comprendre comment nous le gérons.
Tout d'abord, un bref aperçu des versions d'OpenSSL que nous avons proposées, ou que nous proposons encore.
1. OpenSSL for VOS Release 1.0, basé sur la version 0.9.7c, plate-forme Continuum, Base release VOS 14.7, publié en janvier 2005 ; OpenSSL 0.9.7c date de septembre 2003.
2. OpenSSL for VOS Release 2.0, basé sur la version 0.9.7e, V Series platform, Base release VOS 15.1, publié en août 2005 ; OpenSSL 0.9.7e date d'octobre 2004.
3. OpenSSL for VOS Release 1.1, basé sur la version 1.0.0, plate-forme Continuum, Base release VOS 14.7, publié en mai 2011 ; OpenSSL 1.0.0 date de mars 2010.
4. Internet Security Pack for OpenVOS Release 2.1 (contient OpenSSL), basé sur la version 1.0.0, Base Release OpenVOS 17.0, publié en mai 2011.
5. OpenSSL pour la version 1.1.1 de VOS, basée sur la version 1.0.0k, plate-forme Continuum, version de base VOS 14.7, publiée en mars 2014 ; OpenSSL 1.0.0k date de février 2013.
6. Internet Security Pack for OpenVOS Release 2.1.1c (contient OpenSSL), basé sur la version 1.0.0k, plate-forme V Series , version de base OpenVOS 17.0, publiée en mars 2014.
Notez que le produit a été publié pour la première fois en 2005, mis à jour en 2001, et mis à jour à nouveau plus tôt cette année. Lorsque nous mettons à jour le produit, nous rafraîchissons l'ensemble du code source de base à la version actuelle qui a été publiée par les auteurs. Cela intègre toutes les nouvelles fonctionnalités, les corrections de bogues et les correctifs de sécurité. Entre ces mises à jour majeures, nous n'appliquons que des correctifs de sécurité, des corrections de problèmes de portage ou (occasionnellement) des corrections de bogues importants.
Nous avons surveillé avec diligence la liste de diffusion OpenSSL pour connaître la publication des correctifs de sécurité. Nous avons immédiatement entrepris de créer une nouvelle version de correction de bogues contenant ces changements, et nous la rendons disponible au téléchargement à http://openvos1.stratus.com. Le fichier "openssl_RELEASE_updates.memo" contient la liste des correctifs de sécurité que nous avons appliqués (où la chaîne RELEASE doit être remplacée par le nom de la version ; par exemple, 1.1.1).
Mais nous ne mettons à jour que la version la plus récente, qui est maintenant les versions 1.1.1 et 2.2.1.
Les clients qui ne sont pas habitués à utiliser des logiciels à code source ouvert peuvent ne pas comprendre pourquoi nous n'appliquons pas de correctifs de sécurité aux anciennes versions. La communauté des logiciels libres se comporte de manière assez responsable en ce qui concerne la mise à disposition des correctifs de sécurité, mais ils ne remontent généralement pas dans le temps pour de très nombreuses versions. Cela est dû en partie au fait qu'ils publient beaucoup plus de versions que nous (Stratus VOS). C'est aussi parce qu'ils opèrent dans un monde où les clients mettent à jour l'ensemble de leurs logiciels (via RPM, APT ou YUM) et le font assez facilement. Nous n'avons aucun contrôle sur eux et nous ne pouvons pas contrôler jusqu'où ils remontent. Nous ne connaissons pas non plus leur code, et c'est un point très important. S'ils ne fournissent pas de correction de bogue ou de correctif de sécurité pour une ancienne version, il est très peu probable que nous puissions créer nous-mêmes un correctif précis.
C'est pourquoi nous avons choisi de mettre à jour les versions les plus récentes de nos produits open-source lorsque nous recevons des corrections de sécurité. Même dans ce cas, nous devons parfois mettre à jour l'ensemble du code source, plutôt que de nous contenter d'un simple correctif. C'est pour cette raison que nous avons actualisé la base de code source d'OpenSSL 1.1.x/2.1.x en mars. OpenSSL 1.1.x et 2.1.x utilisent un code source identique ; seules les options de compilation sont différentes. C'est une décision délibérée de notre part pour simplifier la tâche de maintenance des deux versions.
Les clients qui sont sur les versions précédentes d'OpenSSL (1.0 et 2.0) utilisent des logiciels qui ont respectivement 11 et 10 ans. Nous avons publié les produits qui leur succèdent en mai 2011. Nos clients ont donc eu 3 ans pour passer aux versions actuelles, entièrement prises en charge, de VOS et de ces produits en couches. C'est certainement beaucoup de temps pour n'importe quel client. Il est vrai que cela signifie que les clients qui souhaitent éviter des bogues comme "Heartblead" doivent également se tenir au courant des versions de VOS, car OpenSSL 2.1.x nécessite une version de base d'au moins OpenVOS 17.0. Je dirais que se tenir au courant des révisions actuelles des logiciels est une fonction de base de tout magasin. Dans le monde de l'open-source, c'est plus important que jamais.
Si vous avez des questions ou des préoccupations à ce sujet, veuillez contacter Stratus Service clientèle, ou votre chargé de compte.
Entreprise