OpenSSL'den önemli güvenlik yamaları konusunda bildirim

OpenSSL projesi güvenlik düzeltmeleri konusundaki ilk güvenlik politikasını açıkladı.

Bu seneki Heartbleed açığı probleminden sonra OpenSSL projesi güvenlik güncelleştirmeleri ve açıklarla mücadele konusundaki ilk politikasını açıkladı. Politikada belirtilene göre proje güvenlik açıklarını 3 aşamada kategorize edecek: Yüksek, Orta ve Düşük Seviyeler.

Yüksek güvenlik açığı seviyesine sahip olabilmesi için bir açığın uzaktan kod çalıştırma, memory leak ve DoS saldırılarına sebebiyet verebilecek bir OpenSSL konfigürasyon açığı olması gerekiyor. Projeye bildirilen güvenlik açıkları politikada belirtildiği üzere OpenSSL geliştirici takımı içerisinde gizli tutulacak. Böylelikle geliştirici takım gerekli yama ve düzeltmeleri yayınlayacak.


Güvenlik politikasında "Bu yüksek seviyeye sahip olan açıklar özel tutulacak ve tüm desteklenen versiyonlar için yeni bir sürüm oluşumunu tetikleyecek" şeklinde belirtiliyor. "Bu sorunları gizli tutmak konusundaki zamanı elimizden geldiğince minimum sürede tutacağız; 1 aydan fazla sürmemesini hedefliyoruz, ve eğer belirli bir risk varsa veya açık ortaya çıkarılmış ise bu süre daha da azaltılacaktır."

Eğer bir dağıtım sorunu sızdırırsa veya geri bildirim, test sonucu veya düzeltme şeklinde değer sağlamaz ise OpenSSL takımı gelecek sorunların bildirimi geri çekme hakkını saklı tutar."

Orta seviye açıklıklar için, bunlar bir sonraki OpenSSL sürümüne kadar gizli tutulacak.

Düşük seviye açıklar direk projenin geliştirici kolu tarafından yamanacak veya OpenSSL tarafından desteklenen eski versiyonlarına dönülecek. Politikada bildirildiğine göre bu durumlarda yeni bir versiyona gidilmeyecek.





Yorumlar

Habere Yorum Yazın

AD SOYAD

 

EMAİL (sitede görünmeyecektir.)

   

BAŞLIK

 

MESAJ

 

 

OpenSSL'den önemli güvenlik yamaları konusunda bildirim

OpenSSL projesi güvenlik düzeltmeleri konusundaki ilk güvenlik politikasını açıkladı.

9/8/2014 2:59:01 AM

Bu seneki Heartbleed açığı probleminden sonra OpenSSL projesi güvenlik güncelleştirmeleri ve açıklarla mücadele konusundaki ilk politikasını açıkladı. Politikada belirtilene göre proje güvenlik açıklarını 3 aşamada kategorize edecek: Yüksek, Orta ve Düşük Seviyeler.

Yüksek güvenlik açığı seviyesine sahip olabilmesi için bir açığın uzaktan kod çalıştırma, memory leak ve DoS saldırılarına sebebiyet verebilecek bir OpenSSL konfigürasyon açığı olması gerekiyor. Projeye bildirilen güvenlik açıkları politikada belirtildiği üzere OpenSSL geliştirici takımı içerisinde gizli tutulacak. Böylelikle geliştirici takım gerekli yama ve düzeltmeleri yayınlayacak.


Güvenlik politikasında "Bu yüksek seviyeye sahip olan açıklar özel tutulacak ve tüm desteklenen versiyonlar için yeni bir sürüm oluşumunu tetikleyecek" şeklinde belirtiliyor. "Bu sorunları gizli tutmak konusundaki zamanı elimizden geldiğince minimum sürede tutacağız; 1 aydan fazla sürmemesini hedefliyoruz, ve eğer belirli bir risk varsa veya açık ortaya çıkarılmış ise bu süre daha da azaltılacaktır."

Eğer bir dağıtım sorunu sızdırırsa veya geri bildirim, test sonucu veya düzeltme şeklinde değer sağlamaz ise OpenSSL takımı gelecek sorunların bildirimi geri çekme hakkını saklı tutar."

Orta seviye açıklıklar için, bunlar bir sonraki OpenSSL sürümüne kadar gizli tutulacak.

Düşük seviye açıklar direk projenin geliştirici kolu tarafından yamanacak veya OpenSSL tarafından desteklenen eski versiyonlarına dönülecek. Politikada bildirildiğine göre bu durumlarda yeni bir versiyona gidilmeyecek.