Recentemente mi è stato chiesto perché Stratus non forniva aggiornamenti di sicurezza per i clienti che eseguono OpenSSL sulle versioni di VOS precedenti alla 17.0, mentre stiamo ancora fornendo aggiornamenti ai clienti che eseguono OpenSSL su VOS 14.7 su Continuum. A prima vista, questa sembra una politica incoerente. Poiché OpenSSL è uno dei prodotti più sensibili alla sicurezza che offriamo per il sistema operativo VOS, è importante capire come lo gestiamo.
In primo luogo, una breve rassegna delle versioni di OpenSSL che abbiamo offerto, o che ancora offriamo.
1. OpenSSL per VOS Release 1.0, basata sulla versione 0.9.7c, piattaforma Continuum, versione base VOS 14.7, rilasciata a gennaio 2005; OpenSSL 0.9.7c risale a settembre 2003.
2. OpenSSL per VOS Release 2.0, basata sulla versione 0.9.7e, piattaforma V Series , versione base VOS 15.1, rilasciata nell'agosto 2005; OpenSSL 0.9.7e risale all'ottobre 2004.
3. OpenSSL per VOS Release 1.1, basata sulla versione 1.0.0, piattaforma Continuum, versione Base VOS 14.7, rilasciata a maggio 2011; OpenSSL 1.0.0.0 risale a marzo 2010.
4. 4. Internet Security Pack per OpenVOS Release 2.1 (contiene OpenSSL), basato sulla versione 1.0.0, Base Release OpenVOS 17.0, rilasciata a maggio 2011.
5. OpenSSL per VOS Release 1.1.1, basata sulla versione 1.0.0k, piattaforma Continuum, versione Base VOS 14.7, rilasciata a marzo 2014; OpenSSL 1.0.0.0k è disponibile da febbraio 2013.
6. 7. Internet Security Pack per OpenVOS Release 2.1.1c (contiene OpenSSL), basato sulla versione 1.0.0k, piattaforma V Series , versione base OpenVOS 17.0, rilasciata a marzo 2014.
Si noti che il prodotto è stato rilasciato per la prima volta nel 2005, aggiornato nel 2001, e aggiornato nuovamente all'inizio di quest'anno. Quando aggiorniamo il prodotto, aggiorniamo l'intera base di codice sorgente alla versione corrente che è stata rilasciata dagli autori. Questo incorpora tutte le nuove caratteristiche, correzioni di bug e patch di sicurezza. Tra questi aggiornamenti principali, applichiamo solo le patch di sicurezza, le correzioni ai problemi di porting, o (occasionalmente) importanti correzioni di bug.
Siamo stati diligenti nel monitorare la mailing list di OpenSSL per conoscere il rilascio delle patch di sicurezza. Abbiamo subito iniziato a creare un nuovo rilascio di bug-fix contenente tali modifiche, e lo rendiamo disponibile per il download all'indirizzo http://openvos1.stratus.com. Il file "openssl_RELEASE_updates.memo" contiene la lista delle correzioni di sicurezza che abbiamo applicato (dove la stringa RELEASE dovrebbe essere sostituita dal nome del rilascio; per esempio, 1.1.1).
Ma noi aggiorniamo solo la versione più attuale, che ora è la versione 1.1.1 e 2.2.1.
I clienti che non sono abituati a utilizzare software open-source potrebbero non capire perché non applichiamo patch di sicurezza alle versioni precedenti e più vecchie. La comunità open-source si comporta in modo piuttosto responsabile nel rendere disponibili le patch di sicurezza, ma in genere non vanno indietro nel tempo per molti rilasci. In parte, questo è dovuto al fatto che loro pubblicano molte altre versioni che noi (Stratus VOS) pubblichiamo. In parte, è perché operano in un mondo in cui i clienti aggiornano l'intero pacchetto (via RPM, APT, o YUM), e lo fanno abbastanza facilmente. Non abbiamo alcun controllo su di loro, e non abbiamo alcun controllo su quanto vanno indietro. Non conosciamo nemmeno il loro codice, e questo è un punto molto importante. Se non forniscono una correzione di bug o una patch di sicurezza per una vecchia versione, è altamente improbabile che possiamo creare una patch accurata da soli.
Pertanto, abbiamo scelto di aggiornare le versioni più aggiornate dei nostri prodotti open-source quando riceviamo correzioni di sicurezza. Anche allora, a volte, dobbiamo aggiornare l'intera base di codice sorgente, piuttosto che prendere solo una patch. Questo è il motivo per cui abbiamo appena aggiornato la base di codice sorgente di OpenSSL 1.1.x/2.1.x a marzo proprio per questo motivo. OpenSSL 1.1.x e 2.1.x utilizzano codice sorgente identico; solo le opzioni di compilazione sono diverse. Questa è stata una decisione deliberata da parte nostra per semplificare il compito di mantenere le due release.
I clienti che si trovano sulle precedenti release di OpenSSL (1.0 e 2.0) utilizzano software che hanno rispettivamente 11 e 10 anni. Abbiamo rilasciato i loro prodotti successivi nel maggio 2011. Quindi, i nostri clienti hanno avuto 3 anni di tempo per aggiornare le versioni attuali, completamente supportate, di VOS e di questi prodotti a più livelli. Sicuramente questo è un sacco di tempo per qualsiasi cliente. Vero, questo significa che i clienti che desiderano evitare bug come "Heartblead" devono tenere il passo anche con le release di VOS, poiché OpenSSL 2.1.x richiede una release base di almeno OpenVOS 17.0. Direi che stare al passo con le attuali revisioni del software è una funzione basilare di qualsiasi negozio. Nel mondo open-source, è più importante che mai.
In caso di domande o dubbi in merito, si prega di contattare il Servizio Clienti Stratus o il proprio Account Executive.
Azienda