开源项目的初衷总是好的,并且有着美好的未来预期,但安全在其中永远不是最受重视的...
Linux基金会于2013年4月份为创建一个开源的软件定义网络(SDN)平台而启动了OpenDaylight协作项目。随后,该项目获得众多业界厂商的关注和支持,如今正在高速发展壮大。然而去年OpenDaylight对于一个安全漏洞的“不重视”,却引起了不少人的担忧。
OpenDaylight
时间回到2014年8月,研究者发现了OpenDaylight的安全漏洞,并命名为“Netdump”。借助“Netdump”,远程攻击者可以通过网络配置服务访问OpenDaylight控制器系统上的任何文件。其中易受攻击的文件包括哈希网络认证文件,攻击者甚至只需借助普通的攻击工具即可获得认证,从而控制整个网络。
虽然该漏洞存在较大安全威胁,但OpenDaylight对此却没有做出积极响应,甚至还在漏洞公布之后,推出了包含该漏洞的Helium版本。直到去年12月,该漏洞才被修复,因为相关人员认为OpenDaylight仍处于早期阶段,尚未在实际环境中大范围使用,因此安全响应速度较慢。
但安全专家(IIX公司的产品安全工程师)并且是OpenDaylight社区的成员之一的David Jorm却不这么认为,他表示:“因为事实是一个严重的漏洞被忽略了4个多月,很显然,我们在某方面出了问题;而该漏洞一旦被攻击者利用,将会给整个SDN带来毁灭性的打击。”
Jorm还指出,供应商需要及时获悉最新的安全信息,而不是通过私下交楼获知这些漏洞,这样会严重影响相关补丁的推出速度。
还好,自该事件之后,已经有越来越多的OpenDaylight成员开始用行动支持Jorm,OpenDaylight的技术指导委员会最近还批准了一项详细的安全响应过程指导书。“在ODL社区中我们很认真的对待安全问题”,该技术指导委员会主席说道,“我们正致力于更好地建立并宣传我们的安全响应过程,这样任何人都可以报告问题,并且确保我们能在第一时间做出反应。”
如今,Jorm对于OpenDaylight的安全响应已经给出了很高的评价,我们欣喜的看到OpenDaylight更加重视安全了。