ä¸è¦å²ç¬æåçæ§
安全根据广泛使用的加密组件背后的开发项目,OpenSSL的建议不应用于竞争优势
警告来自OpenSSL Project,该项目首次发布了内部处理安全问题的指导原则,这是继4月份Heartbleed安全恐慌之后不断努力加强该项目的一部分。
远程代码执行漏洞等高严重性问题将在OpenSSL开发团队中保持私密性,理想情况下不超过一个月,直到新版本发布准备就绪。
[更多阅读:如何从Windows PC中删除恶意软件]如果计划更新,将会发布通知openssl-announce电子邮件列表,但“没有关于这些问题的进一步信息将被给出,”它说。“一些开发包括OpenSSL的通用操作系统的组织将会预先注明更多关于这些修补程序的细节,以便让几天准备。但是OpenSSL项目警告说,提前通知的人越多,“发生泄漏的可能性就越大”。
“如果他们在公开或泄露问题之前泄漏了问题,我们可能会撤回通知个别组织未来的预先通知时间不会增加价值(通过提供反馈,更正,测试结果等可以增加值)“,它写道。
如果漏洞信息泄露,攻击者可能会发现在修补软件产品之前软件漏洞和启动攻击。
OpenSSL项目还建议“组织不能使用提前通知作为竞争优势。举例来说,它反对宣传诸如'如果您购买了我们的产品/使用我们的服务,您将在一周前得到保护'。'
OpenSSL是一个加密库,可以启用SSL(安全套接字层)或TLS(传输安全层)加密。大多数网站使用SSL或TLS,这在带有挂锁符号的浏览器中显示。
利用Heartbleed可能允许攻击者从服务器提取私有SSL密钥并潜在地解密流量。在某些情况下,缺陷会导致服务器泄漏用户凭据。
