The Corliss Group Latest Tech Review: OpenSSL advarer kreditorer mod at bruge sarbarhed info for markedsforing

Sårbarhed oplysninger vil blive nøje holdt indtil patches er klar, OpenSSL Project sagde.

Sikkerhedsbulletiner for OpenSSL bør ikke anvendes til konkurrencefordel, ifølge projektets udvikling bag komponenten udbredte kryptografi.

Advarslen kommer fra OpenSSL Project, som har offentliggjort for første gang retningslinjerne for hvordan det internt håndterer sikkerhedsproblemer, en del af en løbende indsats for at styrke projektets efter Heartbleed sikkerhed skræmme i April.

Høj sværhedsgrad spørgsmål såsom fjernudførelse af kode effektuering sårbarheder vil blive holdt privat i Openssls udviklingsteam, ideelt for ikke længere end en måned, indtil en ny udgivelse er klar.

Hvis en opdatering er planlagt, en anmeldelse vil blive frigivet på openssl-annoncere e-mail liste, men "ingen yderligere oplysninger om spørgsmålene, der vil blive givet," det sagde.

Nogle organisationer, der udvikler et generelt formål OS, der omfatter OpenSSL vil være prenotified med flere detaljer om patches for at have et par dage til at forberede. Men OpenSSL Project advarede om, at jo flere mennesker, der er meddelt på forhånd "jo højere sandsynligheden for, at en lækage opstår."

"Vi kan tilbagekalde anmeldende individuelle organisationer fra fremtidige prenotifications hvis de lække spørgsmål før de er offentlige eller over tid ikke tilføje værdien (værdien kan tilføjes ved at give feedback, rettelser, testresultater, etc.)," det skrev.

Hvis oplysninger om en sårbarhed lækager, gør det det mere sandsynligt, at hackere kan muligvis finde ud af software fejl og lanceringen angreb før softwareprodukter er lappet.

OpenSSL Project også opmærksom på, at "det ikke er acceptabelt for organisationer at bruge varsel i markedsføringen som en konkurrencefordel. Det objekter, for eksempel, at markedsføring påstande som "Hvis du havde købt vores produkt/brugt vores service, du ville have været beskyttet for en uge siden."

OpenSSL har gennemgået en intens kode anmeldelse, da Heartbleed sårbarhed blev opdaget i April. Fejlen ramt tusindvis af hjemmesider over hele internettet og mange softwareprogrammer.

OpenSSL er en kryptografisk bibliotek, der giver mulighed for SSL (Secure Sockets Layer) eller TLS (Transport Security Layer)-kryptering. De fleste websteder bruger SSL eller TLS, som er angivet i browsere med en hængelåssymbol.

At udnytte Heartbleed kan tillade hackere at udtrække private SSL nøgler fra en server og potentielt dekryptere trafik. I nogle tilfælde forårsage fejlen serveren til at lække brugerlegitimationsoplysninger.