با وجود میزان خطر جدی آسیبپذیری کشف شده در OpenSSL، نرخ اعمال وصلهها اصلاً خوب نیست، در صورتی که در مورد آسیبپذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصلهها بسیار مناسب بود.
به نقل از پایگاه خبری امنیت اطلاعات پس از آسیبپذیری OpenSSL که از 10 روز پیش معرفی شد، محققان هشدار دادند که این آسیبپذیری از نظر درجه اهمیت به اندازه آسیبپذیری HeartBleed مهم است و به همین دلیل اعمال وصلههای آسیبپذیری CVE-2014-0224 به اندازهی آسیبپذیری Heartbleed اهمیت دارد.
ایوان ریستیک، محقق امنیت نرمافزارها و مهندس راهبر در Qualys، اعلام کرده است که محققان این شرکت در آزمایشگاه SSL بهدنبال بررسی از راه دور این آسیبپذیری در کارگزارها هستند. هفته جاری این محققان پویش مدنظر را روی مجموعهدادههای تولید شده توسط SSL Pluse، پروژهی جهانی که ناظر بر کیفیت پشتیبانی از SSL باشد، اعمال کردهاند، و با این کار قصد دارند تا به دنبال همه نسخههای تحت تاثیر این آسیبپذیری در نسخههای سرویسگیرندهی OpenSSL و نسخهی 1.0.1 از نرمافزار کارگزار باشند.
مقایسههای مدنظر با این مجموعهداده نشان میدهد که 49 درصد از کارگزارها هنوز در مقابل این آسیبپذیری، وصله نشدهاند و این در حالی است که 14 درصد کارگزارها دارای شرایط سوءاستفاده از این آسیبپذیری هستند. (نسخههای 1.0.1)
با این نتایج ریستیک، محقق ارشد این پروژه نیز اعلام کرده است که با وجود میزان خطر جدی این آسیبپذیری، نرخ اعمال وصلهها اصلاً خوب نیست، در صورتی که در مورد آسیبپذیری Heartbleed به علت پوشش مناسب در اخبار، نرخ اعمال وصلهها بسیار مناسب بود.
در این پروژه همچنین مشخص شده است که 36 درصد از کارگزارها نسخههای قدیمیتر از OpenSSL را اجرا میکنند که اصلاً قابلیت سوءاستفاده از این آسیبپذیری در آنها وجود ندارد، تخمین سادهای در مورد آسیبپذیری Heartbleed نشان میدهد که 24 درصد ار کارگزارها در مقابل Heartbleed آسیبپذیر بودند که 38 درصد آنها در هفته اول وصله شدند.
این آسیبپذیری مربوط به کتابخانهی رمزنگاری OpenSSL است، OpenSSL در طول یک رد و بدل توافقی از تبادل اطلاعات که در دنیای شبکه به دستدهی معروف است، به صورت نامناسبی CCS میپذیرد، که این آسیبپذیری میتواند مهاجم را قادر کند تا از راه دور به سوءاستفاده از این آسیبپذیری و رمزگشایی ترافیک مشتری و کارگزار بپردازد و البته امکان حملات مرد میانی نیز وجود دارد، ولی این بدین معنی نیست که مهاجم تنها میتواند برای سوءاستفاده از این آسیبپذیری بین کارگزار و مشتری آسیبپذیر قرار بگیرد.
با این توضیحات مشخص میشود که اگرچه تاثیرات این آسیبپذیری کمتر از Heartbleed است اما خطر این آسیبپذیری دستکمی از Heartbleed ندارد و باید هرچه سریعتر کارگزارها و سرویسگیرندهها آخرین نسخهی OpenSSL را دریافت و اعمال کنند تا از خرات احتمالی در امان باشند.