開源補漏大聯盟

2014 年 4 月 8 日,開放源碼網路傳輸加密函式庫 OpenSSL 開發組織發佈緊急安全修補公告,公佈 OpenSSL 中一個可能潛伏長達兩年之久的 OpenSSL 重大安全漏洞,受影響的版本遍及 2011 年 12 月的 OpenSSL 1.0.1 到 1.0.1f。OpenSSL 使用相當廣泛,目前全球佔一半以上的萬維網伺服器 Apache,都是使用這套軟體來進行 SSL/TLS 加密的。certizen07
漏洞據悉是由安全公司 Codenomicon 及 Google 安全部門的 Neel Mehta 發現的。由於這個漏洞存在 OpenSSL 的 TLS/DTLS 傳輸安全層的 heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為 Heartbleed(心在淌血)臭蟲。這個漏洞並不是 SSL/TLS 協定的問題,而是 OpenSSL 函式庫的程式錯誤。

Codenomicon 人員解釋,Heartbleed 臭蟲可能讓網路上任何人讀取到由 OpenSSL 防護的系統記憶體,進而獲得辨識服務供應商或加密網路流量的密鑰,或是使用者的帳號密碼及實際內容。攻擊者可藉此竊取服務或身份驗證內容,並且假冒服務或使用者身份。

事件發生後,Amazon、Cisco、Dell、Facebook、Fujitsu、Google、IBM、Intel、Microsoft、NetApp、RackSpace、Qualcomm 及 VMware在內共 13 家科技大廠聯合宣布成立核心基礎架構計畫(Core Infrastructure Initiative, CII)亡羊補牢,並承諾未來三年將有近 400 萬美元的資源促進開放源碼軟體的安全。OpenSSL 雖然獲全球數百萬企業及網站使用,但過往一直只由幾位志工兼職負責,2013年 OpenSSL 基金會經費只有 9,000 美元,而過去平均每年更只有 2,000 美元的捐款,經費實在少得可憐,對於那些長期依賴開放源碼軟體賺錢的企業,他們更有道義去作出補救,否則只有轉用其他商業方案。

負責管理 CII 的 Linux 基金會指出,將由專案贊助公司代表及開放源碼界核心開發人員與其他產業人士合組督導小組,該小組將與開放源碼委員會合作找出有需求的計畫。資助項目包括主要開發人員全職投入開放源碼專案、安全稽核、運算與測試的基礎架構之採購,差旅、面對面開會協調及其他事項。相信 CII 的成立,可以有效堵塞開放源碼軟體的安全漏洞,令網路世界更加安全可信。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *