OpenSSL: falha grave sofrerá correção dia 28-Jan
O Projeto OpenSSL anunciou que os próximos lançamentos da biblioteca de software criptográfico (dia 28, versões 1.0.2f e 1.0.1r) irá abordar duas graves falhas de segurança: uma classificada como "alta severidade", enquanto a segunda falha, classificado como "baixa gravidade", impactando todas as versões.
De acordo com a política de segurança do Projeto OpenSSL, questões de "elevada gravidade" são consideradas de menor risco em relação a vulnerabilidades críticas porque afetam configurações menos comuns ou são menos propensos a ser exploradas. Questões de "alta severidade" são mantidas em sigilo até que sejam corrigidas com um novo lançamento para todas as versões suportadas. O Projeto OpenSSL visa corrigir tais falhas dentro de um mês.
Em seu anúncio de pré-lançamento, o Projeto OpenSSL apontou que o suporte para os releases 1.0.0 e 0.9.8 terminou em 31 de Dezembro de 2015 e que não receberá mais atualizações de segurança. O suporte para a versão 1.0.1 terminará em 31 de dezembro de 2016.
No ano passado, um total de 31 vulnerabilidades foram remendado em OpenSSL com o lançamento de dez atualizações.
O que mais me impressiona em projetos open-source (código aberto e regime colaborativo) é o conceito de "maior segurança que softwares de código-proprietário, visto que o esquema colaborativo multiplica as revisões de todos os envolvidos em rotinas potencialmente perigosas" - mas na prática não é isso que vemos e o fato de não se divulgar os problemas antes das correções implica justamente na falta de confiança dos "gestores" na comunidade envolvida, que, sabendo do problema com antecedência, poderia contribuir mais rapidamente na solução.
E no caso do OpenSSL, qualquer ocorrência de segurança é potencialmente grave, já que o software é utilizado por milhares de aplicativos para providenciar conexões "seguras" (com o cadeadinho verde), uma vez que é gratuito.
Em nossa equipe de desenvolvimento não utilizamos rotinas open-source para acesso seguro ao banco-de-dados. Recomendamos sempre aos clientes que, o custo de um Certificado Digital de fonte confiável e utilizando SHA256 é sempre menor que o custo de solução de qualquer vulnerabilidade ou ocorrência de segurança.
