آخرین به‌روزرسانی‌های نسخه‌های ۰.۹٫۸ و ۱.۰.۰ کتابخانه‌ی OpenSSL‌ و پایان پشتیبانی از این نسخه‌های قدیمی

روز گذشته بنیاد نرم افزاری OpenSSL برای چهار آسیب‌پذیری در کتابخانه نرم‌افزاری رمزنگاری اصلاحیه‌هایی ارائه کرد، و اشاره نمود که به احتمال زیاد این آخرین باری است که دو نسخه قدیمی‌تر از کتابخانه‌های نرم‌افزاری به روزرسانی‌ها را دریافت خواهند کرد.
این گروه در دسامبر سال ۲۰۱۴ اعلام نمود که به پشتیبانی از دو شاخه OpenSSL این شرکت در نسخه‌های ۱.۰.۰ و ۰.۹٫۸ در پایان سال ۲۰۱۵ پایان خواهد داد. و به همین دلیل گروه مشاوران امنیتی این بنیاد گفته شد که آنها پیش‌بینی می‌کنند که به‌روز‌رسانی‌های این هفته، آخرین بسته‌هایی خواهد بود که این دو نسخه دریافت خواهند کرد.
متخصصان امنیتیِ پروژه‌ی OpenSSL از کاربرانی که از نسخه‌های قدیمی که مابین سالهای ۲۰۰۵ تا ۲۰۱۰ را دارا هستند، خواسته‌اند تا به آخرین نسخه ارتقاء پیدا کنند. با این حال کاربران نسخه‌های ۱.۰.۱ و ۱.۰.۲ هنوز زمان دارند تا برنامه‌ای برای ارتقاء خود تدارک ببینند؛  این بنیاد برنامه‌ریزی می‌کند تا از این نسخه‌ها به ترتیب تا پایان سال‌های ۲۰۱۶ و ۲۰۱۹ پشتیبانی کند.
سه حفره امنیتی که این هفته برای آنها اصلاحیه منتشر شد، متوسط ارزیابی شدند، یکی از آنها بر روی یک روال تأیید هویت اثر می‌گذارد که می‌تواند موجب فشار برای توقف عملکرد شود و در حملاتی از نوع انکار سرویس یا به اختصار DoS مورد استفاده قرار گیرد.
این گروه مشاوران می‌گویند:  «هر برنامه‌ای که گواهی‌ها را تأیید می‌کند آسیب‌پذیر است  از جمله کلاینت‌ها و کارگزارهای OpenSSl ، که  احراز هویت کاربر را فعال می‌کنند.»
نقطه آسیب‌پذیر دیگر، مشکل رخنه حافظه است که در هر دو نسخه ۱٫۰٫۰  و ۰.۹٫۸ دیده می‌شود و دیگر نقطه آسیب‌پذیر نیز شرایط مسابقه یا Race Condition است که در نسخه ۱.۰.۰ دیده می‌شود.
کاربران هر دو نسخه‌ی قدیمی که مایلند به‌روزرسانی‌ها را دریافت کنند باید قبل از پایان چهار هفته آینده که پشتیبانی آن‌ها به پایان می‌رسد این کار را انجام دهند.
این به روزرسانی‌ها نسخه ۰.۹٫۸ را به ۰.۹٫۸zh و نسخه ۱.۰.۰ را به نسخه ۱.۰.۰t و نسخه ۱.۰.۱ را به نسخه ۱.۰.۰q و نسخه ۱.۰.۲ را به نسخه ۱.۰.۲q ارتقاء می‌دهند.
همان‌طور که آسیب‌پذیری Heartbleed سال گذشته نشان داد، برخی از شرکت‌ها ندانسته بسته‌های OpenSSL قدیمی را با نسخه‌های جدید ترکیب می‌کنند و رکوردهای بدساخت را در سامانه‌های خود مستقر می‌نمایند؛ در نتیجه  این کار موجب می‌شود که ماه‌ها طول بکشد تا مشخص شود آیا سامانه‌های آنها در برابر حفره‌های امنیتی آسیب‌پذیر هستند یا خیر. دقیقاً در این هفته نیز محققان Rapid۷ دستگاه Gateway ای را که توسط شرکت advantech‌ ساخته شده‌است کشف کرده‌اند که حتی با گذشت یک سال و نیم از کشف این آسیب‌پذیری هنوز هم در برابر Heartbleed آسیب‌پذیر است.

منبع: asis