나는 최근에 Stratus가 17.0 이전에 VOS 릴리스에서 OpenSSL을 실행하는 고객에게 보안 업데이트를 제공하지 않은 이유를 물었습니다. 이에 대해 일관되지 않은 정책처럼 보입니다. OpenSSL은 VOS 운영 체제에서 제공하는 가장 보안에 민감한 제품 중 하나이므로 이를 관리하는 방법을 이해하는 것이 중요합니다.
첫째, 우리가 제공 하거나 여전히 제공 하는 OpenSSL의 버전의 간단한 검토.
1. VOS 릴리스 에 대한 OpenSSL 1.0, 버전 에 따라 0.9.7c, 연속체 플랫폼, 베이스 릴리스 VOS 14.7, 1 월 출시 2005; OpenSSL 0.9.7c 날짜는 2003년 9월부터 입니다.
2. VOS 릴리스 2.0에 대한 OpenSSL, 버전 0.9.7e, V 시리즈 플랫폼, 베이스 릴리스 VOS 15.1, 8 월 출시 2005; OpenSSL 0.9.7e 날짜는 2004년 10월부터 입니다.
3. VOS 릴리스 에 대한 OpenSSL 1.1, 버전 에 따라 1.0.0, 연속체 플랫폼, 베이스 릴리스 VOS 14.7, 5 월 출시 2011; OpenSSL 1.0.0 날짜는 2010년 3월부터 입니다.
4. OpenVOS 릴리스 2.1 (OpenSSL 포함)에 대한 인터넷 보안 팩 버전 1.0.0, 기본 릴리스 OpenVOS 17.0, 2011년 5월 출시.
5. VOS 릴리스 에 대한 OpenSSL 1.1.1, 버전 에 따라 1.0.0k, 연속체 플랫폼, 베이스 릴리스 VOS 14.7, 3 월 출시 2014; OpenSSL 1.0.0k 는 2013년 2월부터 입니다.
6. OpenVOS 릴리스 2.1.1c (OpenSSL 포함)를위한 인터넷 보안 팩은 버전 1.0.0k, V 시리즈 플랫폼, 베이스 릴리스 OpenVOS 17.0을 기반으로 2014 년 3 월 출시.
이 제품은 2005년에 처음 출시되어 2001년에 업데이트되었으며 올해 초에 다시 업데이트되었습니다. 제품을 업데이트할 때 전체 소스 코드 베이스를 작성자에서 릴리스한 현재 버전으로 새로 고칩니다. 이렇게 하면 모든 새로운 기능, 버그 수정 및 보안 패치가 통합됩니다. 이러한 주요 업데이트 사이에는 보안 패치, 포트 문제에 대한 수정 또는 중요한 버그 수정만 적용됩니다.
보안 패치 릴리스에 대해 알아보려면 OpenSSL 메일링 리스트를 모니터링하는 데 부지런히 해 왔습니다. 이러한 변경 내용이 포함된 새 버그 수정 릴리스를 즉시 만들기 위해 설정했으며 http://openvos1.stratus.com다운로드할 수 있습니다. 파일 "openssl_RELEASE_updates.memo"에는 우리가 적용한 보안 수정 목록(문자열 릴리스를 릴리스 이름으로 대체해야 하는 위치, 예: 1.1.1)이 포함되어 있습니다.
그러나 우리는 단지 최신 버전을 업데이트, 이는 지금 릴리스 1.1.1 과 2.2.1.
오픈 소스 소프트웨어를 사용하는 데 익숙하지 않은 고객은 이전 버전에 보안 패치를 적용하지 않는 이유를 이해하지 못할 수 있습니다. 오픈 소스 커뮤니티는 보안 패치를 사용할 수 있도록 하는 것과 관련하여 매우 책임감 있게 행동하지만 일반적으로 많은 릴리스에 대해 제 시간에 돌아가지 않습니다. 부분적으로, 이것은 그들이 우리 (Stratus VOS)가 내놓은 더 많은 릴리스를 내놓기 때문입니다. 부분적으로, 그것은 고객이 전체 패키지를 업그레이드하는 세계에서 작동하기 때문에 (RPM, APT, 또는 YUM을 통해), 매우 쉽게 그렇게. 우리는 그들을 통제할 수 없으며, 그들이 얼마나 멀리 돌아가는지 통제할 수 없습니다. 우리는 그들의 코드를 모른다, 어느, 그리고 이것은 매우 중요 한 포인트. 이전 버전에 대한 버그 수정 또는 보안 패치를 제공하지 않으면 자체적으로 정확한 패치를 만들 가능성은 거의 없습니다.
따라서 보안 수정 을 받을 때 오픈 소스 제품의 최신 릴리스를 업데이트하기로 결정했습니다. 그럼에도 불구하고 패치만 하는 대신 전체 소스 코드 베이스를 업데이트해야 하는 경우가 있습니다. 그래서 우리는 바로 이러한 이유로 3 월에 OpenSSL 1.1.x /2.1.x의 소스 코드 베이스를 새로 고쳐 놓았습니다. OpenSSL 1.1.x 및 2.1.x는 동일한 소스 코드를 사용합니다. 컴파일 옵션만 다릅니다. 이것은 두 릴리스를 유지하는 작업을 단순화하기 위한 의도적인 결정이었습니다.
OpenSSL(1.0 및 2.0)의 이전 릴리스에 있는 고객은 각각 11세와 10세 소프트웨어를 사용하고 있습니다. 2011년 5월에 후속 제품을 출시했습니다. 따라서 고객은 VOS와 이러한 계층화된 제품의 현재 완전히 지원되는 릴리스로 업그레이드하는 데 3년이 있었습니다. 확실히 그것은 어떤 고객을위한 충분한 시간입니다. 이는 OpenSSL 2.1.x에서 최소한 OpenVOS 17.0의 기본 릴리스가 필요하기 때문에 "Heartblead"와 같은 버그를 피하려는 고객도 VOS 릴리스를 따라가야 한다는 것을 의미합니다. 나는 소프트웨어의 현재 개정을 유지하는 것이 어떤 상점의 기본 기능이라고 주장하고 싶습니다. 오픈 소스 세계에서, 그것은 그 어느 때보 다 더 중요하다.
이에 대한 질문이나 우려가 있는 경우 Stratus 고객 서비스 또는 계정 임원에게 문의하십시오.