Ich wurde kürzlich gefragt, warum Stratus keine Sicherheitsupdates für Kunden bereitstellt, die OpenSSL auf Versionen von VOS vor 17.0 einsetzen, während wir Kunden, die OpenSSL auf VOS 14.7 auf Continuum einsetzen, weiterhin Updates zur Verfügung stellen. Auf den ersten Blick scheint dies eine inkonsistente Politik zu sein. Da OpenSSL eines der sicherheitsrelevantesten Produkte ist, die wir für das VOS-Betriebssystem anbieten, ist es wichtig zu verstehen, wie wir es verwalten.
Zunächst ein kurzer Überblick über die Versionen von OpenSSL, die wir angeboten haben bzw. noch anbieten.
1. OpenSSL für VOS Release 1.0, basierend auf Version 0.9.7c, Continuum-Plattform, Basis-Release VOS 14.7, freigegeben im Januar 2005; OpenSSL 0.9.7c stammt vom September 2003.
2. OpenSSL für VOS Release 2.0, basierend auf Version 0.9.7e, V Series Plattform, Basisversion VOS 15.1, erschienen im August 2005; OpenSSL 0.9.7e stammt aus Oktober 2004.
3. OpenSSL für VOS Release 1.1, basierend auf Version 1.0.0, Continuum-Plattform, Basis-Release VOS 14.7, freigegeben im Mai 2011; OpenSSL 1.0.0 stammt vom März 2010.
4. Internet Security Pack für OpenVOS Release 2.1 (enthält OpenSSL), basierend auf Version 1.0.0, Base Release OpenVOS 17.0, freigegeben im Mai 2011.
5. OpenSSL für VOS Release 1.1.1, basierend auf Version 1.0.0k, Continuum-Plattform, Basis-Release VOS 14.7, veröffentlicht im März 2014; OpenSSL 1.0.0k stammt vom Februar 2013.
6. Internet Security Pack für OpenVOS Release 2.1.1c (enthält OpenSSL), basierend auf Version 1.0.0k, V Series Plattform, Basis-Release OpenVOS 17.0, erschienen März 2014.
Beachten Sie, dass das Produkt erstmals im Jahr 2005 veröffentlicht, 2001 aktualisiert und Anfang dieses Jahres erneut aktualisiert wurde. Wenn wir das Produkt aktualisieren, aktualisieren wir die gesamte Quellcodebasis auf die aktuelle Version, die von den Autoren freigegeben wurde. Dies beinhaltet alle neuen Funktionen, Fehlerbehebungen und Sicherheitspatches. Zwischen diesen großen Updates spielen wir nur Sicherheitspatches, Korrekturen von Portierungsproblemen oder (gelegentlich) wichtige Fehlerbehebungen ein.
Wir haben die OpenSSL-Mailingliste sorgfältig überwacht, um von der Veröffentlichung von Sicherheitspatches zu erfahren. Wir haben uns sofort daran gemacht, ein neues Bugfix-Release zu erstellen, das diese Änderungen enthält, und wir stellen es unter http://openvos1.stratus.com zum Download bereit. Die Datei "openssl_RELEASE_updates.memo" enthält die Liste der Sicherheitskorrekturen, die wir angewendet haben (wobei die Zeichenkette RELEASE durch den Versionsnamen ersetzt werden sollte; z.B. 1.1.1).
Wir aktualisieren aber nur die aktuellste Version, das sind jetzt die Releases 1.1.1 und 2.2.1.
Kunden, die nicht an die Verwendung von Open-Source-Software gewöhnt sind, verstehen vielleicht nicht, warum wir keine Sicherheits-Patches auf ältere, frühere Versionen anwenden. Die Open-Source-Gemeinschaft verhält sich ziemlich verantwortungsbewusst, was die Bereitstellung von Sicherheits-Patches angeht, aber sie gehen im Allgemeinen nicht für sehr viele Versionen in der Zeit zurück. Teilweise liegt das daran, dass sie viel mehr Versionen herausgeben als wir (Stratus VOS). Zum Teil liegt es daran, dass sie in einer Welt operieren, in der die Kunden das gesamte Paket aktualisieren (über RPM, APT oder YUM), und das ziemlich einfach. Wir haben keine Kontrolle über sie, und wir haben keine Kontrolle darüber, wie weit sie zurückgehen. Wir kennen auch nicht ihren Code, und das ist ein sehr wichtiger Punkt. Wenn sie keinen Bugfix oder Sicherheitspatch für eine alte Version zur Verfügung stellen, ist es sehr unwahrscheinlich, dass wir selbst einen genauen Patch erstellen können.
Daher haben wir uns entschieden, die aktuellsten Versionen unserer Open-Source-Produkte zu aktualisieren, wenn wir Sicherheitslücken erhalten. Selbst dann müssen wir manchmal die gesamte Quellcode-Basis aktualisieren, anstatt nur einen Patch zu nehmen. Genau aus diesem Grund haben wir im März die Quellcode-Basis für OpenSSL 1.1.x/2.1.x aktualisiert. OpenSSL 1.1.x und 2.1.x benutzen identischen Quellcode; nur die Kompilierungsoptionen sind unterschiedlich. Dies war eine bewusste Entscheidung unsererseits, um die Aufgabe der Wartung der beiden Versionen zu vereinfachen.
Kunden, die mit den früheren Versionen von OpenSSL (1.0 und 2.0) arbeiten, verwenden Software, die 11 bzw. 10 Jahre alt ist. Wir haben ihre Nachfolgeprodukte im Mai 2011 veröffentlicht. Unsere Kunden hatten also 3 Jahre Zeit, um auf aktuelle, vollständig unterstützte Versionen von VOS und diesen mehrschichtigen Produkten umzusteigen. Das ist sicherlich für jeden Kunden eine Menge Zeit. Zugegeben, das bedeutet, dass Kunden, die Bugs wie "Heartblead" vermeiden wollen, auch mit den VOS-Releases Schritt halten müssen, da OpenSSL 2.1.x ein Basis-Release von mindestens OpenVOS 17.0 benötigt. Ich würde argumentieren, dass das Schritthalten mit den aktuellen Revisionen von Software eine grundlegende Funktion eines jeden Geschäfts ist. In der Open-Source-Welt ist es wichtiger denn je.
Wenn Sie diesbezüglich Fragen oder Bedenken haben, wenden Sie sich bitte an den Stratus Kundendienst oder an Ihren Kundenbetreuer.