Recentemente me perguntaram por que a Stratus não estava fornecendo atualizações de segurança para clientes que executavam o OpenSSL em versões do VOS anteriores à 17.0, quando ainda estamos fornecendo atualizações para clientes que executam o OpenSSL no VOS 14.7 no Continuum. À primeira vista, essa parece ser uma política inconsistente. Como o OpenSSL é um dos produtos mais sensíveis à segurança que oferecemos para o sistema operacional VOS, é importante entender como o gerenciamos.
Primeiro, uma breve análise das versões do OpenSSL que oferecemos ou ainda oferecemos.
1. OpenSSL para VOS Versão 1.0, baseada na versão 0.9.7c, plataforma Continuum, versão básica VOS 14.7, lançada em janeiro de 2005; o OpenSSL 0.9.7c data de setembro de 2003.
2. OpenSSL for VOS Release 2.0, baseado na versão 0.9.7e, plataforma V Series, versão básica VOS 15.1, lançada em agosto de 2005; o OpenSSL 0.9.7e data de outubro de 2004.
3. OpenSSL para VOS versão 1.1, baseada na versão 1.0.0, plataforma Continuum, versão básica VOS 14.7, lançada em maio de 2011; o OpenSSL 1.0.0 data de março de 2010.
4. Internet Security Pack para OpenVOS versão 2.1 (contém OpenSSL), com base na versão 1.0.0, versão básica OpenVOS 17.0, lançada em maio de 2011.
5. OpenSSL para VOS Versão 1.1.1, baseada na versão 1.0.0k, plataforma Continuum, versão básica VOS 14.7, lançada em março de 2014; o OpenSSL 1.0.0k data de fevereiro de 2013.
6. Internet Security Pack for OpenVOS versão 2.1.1c (contém OpenSSL), com base na versão 1.0.0k, plataforma V Series, versão básica OpenVOS 17.0, lançada em março de 2014.
Observe que o produto foi lançado pela primeira vez em 2005, atualizado em 2001 e atualizado novamente no início deste ano. Quando atualizamos o produto, atualizamos toda a base do código-fonte para a versão atual que foi lançada pelos autores. Isso incorpora todos os novos recursos, correções de bugs e patches de segurança. Entre essas atualizações principais, aplicamos apenas patches de segurança, correções de problemas de portabilidade ou (ocasionalmente) correções de bugs importantes.
Temos sido diligentes no monitoramento da lista de discussão do OpenSSL para tomar conhecimento do lançamento de patches de segurança. Imediatamente começamos a criar uma nova versão de correção de erros contendo essas alterações e a disponibilizamos para download em http://openvos1.stratus.com. O arquivo "openssl_RELEASE_updates.memo" contém a lista de correções de segurança que aplicamos (onde a string RELEASE deve ser substituída pelo nome da versão; por exemplo, 1.1.1).
Mas só atualizamos a versão mais recente, que agora são as versões 1.1.1 e 2.2.1.
Os clientes que não estão acostumados a usar software de código aberto podem não entender por que não aplicamos patches de segurança a versões anteriores mais antigas. A comunidade de código aberto se comporta de forma bastante responsável com relação à disponibilização de patches de segurança, mas eles geralmente não voltam no tempo para muitas versões. Em parte, isso se deve ao fato de que eles lançam muito mais versões do que nós (Stratus VOS). Em parte, é porque eles operam em um mundo onde os clientes atualizam o pacote inteiro (via RPM, APT ou YUM), e o fazem com bastante facilidade. Não temos controle sobre eles e não temos controle sobre o quanto eles retrocedem. Também não conhecemos o código deles, e esse é um ponto muito importante. Se eles não fornecerem uma correção de bug ou patch de segurança para uma versão antiga, é altamente improvável que possamos criar um patch preciso por conta própria.
Portanto, optamos por atualizar as versões mais recentes de nossos produtos de código aberto quando recebemos correções de segurança. Mesmo assim, às vezes precisamos atualizar toda a base do código-fonte, em vez de usar apenas um patch. É por isso que acabamos de atualizar a base do código-fonte do OpenSSL 1.1.x/2.1.x em março, exatamente por esse motivo. O OpenSSL 1.1.x e o 2.1.x usam código-fonte idêntico; apenas as opções de compilação são diferentes. Essa foi uma decisão deliberada de nossa parte para simplificar a tarefa de manter as duas versões.
Os clientes que usam as versões anteriores do OpenSSL (1.0 e 2.0) estão usando software com 11 e 10 anos de idade, respectivamente. Lançamos seus produtos sucessores em maio de 2011. Portanto, nossos clientes tiveram três anos para atualizar para as versões atuais e com suporte total do VOS e desses produtos em camadas. Certamente, é tempo suficiente para qualquer cliente. É verdade que isso significa que os clientes que desejam evitar bugs como o "Heartblead" também precisam acompanhar as versões do VOS, pois o OpenSSL 2.1.x exige uma versão básica de pelo menos o OpenVOS 17.0. Eu diria que acompanhar as revisões atuais do software é uma função básica de qualquer loja. No mundo do código aberto, isso é mais importante do que nunca.
Se tiver alguma dúvida ou preocupação sobre isso, entre em contato com o Serviço de Atendimento ao Cliente Stratus ou com seu Executivo de Conta.