JohnnyCage
Túl gyorsan fény derült a hibára?
Egy számítógépes biztonsági kérdésekkel foglalkozó társaság a napokban azért kapott éles kritikát, mert túlzottan hamar nyilvánosságra hozott egy Apache szerver biztonsági problémát.
A szabadforrású megoldást fejlesztő közösség élesen bírálta az Internet Security Systems-t, amiért a hálózati biztonsági problémákkal foglalkozó társaság idő előtt nyilvánosságra hozott egy biztonsági rést, amely a világ legelterjedtebb webszerver alkalmazásában, az Apache-ban található. Az Apache Foundation-nek így gyakorlatilag nem maradt ideje reagálni a problémára, és javítást készíteni hozzá, mielőtt a nyilvánosság tudomást szerez róla.
Mark Cox, az Apache Foundation alapító tagja úgy véli, a probléma súlyosságának tekintetében hiba volt azt egyből nyilvánosságra hozni ahelyett, hogy a társaság először a fejlesztőket értesítette volna. - Különböznek a vélemények azzal kapcsolatban, hogy mennyi időt kell hagyni a szoftverfejlesztőnek a probléma kijavítására - mondta Cox. - Egyesek szerint meg kell várni a javítás elkészítését, mások szerint tíz óra is elég. Mindenesetre a két óra, amennyit mi kaptunk, aligha nevezhető elegendőnek - tette hozzá.
Mind az ISS, mind az Apache Foundation bejelentette hétfőn azt a biztonsági rést, amely egy szimpla HTTP utasítással lehetővé teszi DoS támadások indítását az Apache webszervert futtató mintegy 10,4 millió szerver bármelyikéről. Egyes régebbi, Windows-, illetve 64 bites Unix-alapú változatoknál a probléma még súlyosabb, és lehetővé teszi a támadó számára a szerver feletti irányítás megszerzését is.
A probléma gyors nyilvánosságra hozatala újból felhevítette a vitát a szakértők között a biztonsági hibákra figyelezető felhívások megfelelő kiadási idejéről. Chris Rouland, az ISS X-Force elnevezésű kutatási és fejlesztési csoportjának igazgatója úgy véli, a társaság helyesen döntött, amikor bejelentette a problémát, és nem mellékesen javítást is biztosított hozzá.
- A 10 millió hackerrel versengünk, akik odakinn megpróbálják feltörni a webszervereket - mondta. - Azzal, hogy bejelentettük a hibát, a hackerek dolgát nehezítettük meg, mivel eggyel kevesebb titkos fegyverük maradt - tette hozzá Rouland.
A vezető úgy véli, a társaság felelősségteljesen cselekedett, mivel javítást is biztosított a problémára. Sajnos azonban az ISS figyelmét elkerülte, hogy a biztonsági rés nem csak a Windows-alapú Apache verziót érinti, hanem bizonyos fokon a többi változat is.
Mark Litchfield, a Next-Generation Security Software társalapítója az ISS-szel egyidőben találta meg a biztonsági problémát. Litchfield az Apache Foundationnal együttműködve megállapította, hogy a probléma az Apache minden változatát érinti, igaz különböző mértékben.
Cox szerint ha az ISS értesítette volna az Apache Foundation-t, vagy a CERT-et a problémáról mielőtt nyilvánosságra hozza, kiderült volna, hogy a szervezet már vizsgálja a különböző platformok érintettségét. Így ez a lehetőség elveszett.
A szabadforrású megoldást fejlesztő közösség élesen bírálta az Internet Security Systems-t, amiért a hálózati biztonsági problémákkal foglalkozó társaság idő előtt nyilvánosságra hozott egy biztonsági rést, amely a világ legelterjedtebb webszerver alkalmazásában, az Apache-ban található. Az Apache Foundation-nek így gyakorlatilag nem maradt ideje reagálni a problémára, és javítást készíteni hozzá, mielőtt a nyilvánosság tudomást szerez róla.
Mark Cox, az Apache Foundation alapító tagja úgy véli, a probléma súlyosságának tekintetében hiba volt azt egyből nyilvánosságra hozni ahelyett, hogy a társaság először a fejlesztőket értesítette volna. - Különböznek a vélemények azzal kapcsolatban, hogy mennyi időt kell hagyni a szoftverfejlesztőnek a probléma kijavítására - mondta Cox. - Egyesek szerint meg kell várni a javítás elkészítését, mások szerint tíz óra is elég. Mindenesetre a két óra, amennyit mi kaptunk, aligha nevezhető elegendőnek - tette hozzá.
Mind az ISS, mind az Apache Foundation bejelentette hétfőn azt a biztonsági rést, amely egy szimpla HTTP utasítással lehetővé teszi DoS támadások indítását az Apache webszervert futtató mintegy 10,4 millió szerver bármelyikéről. Egyes régebbi, Windows-, illetve 64 bites Unix-alapú változatoknál a probléma még súlyosabb, és lehetővé teszi a támadó számára a szerver feletti irányítás megszerzését is.
A probléma gyors nyilvánosságra hozatala újból felhevítette a vitát a szakértők között a biztonsági hibákra figyelezető felhívások megfelelő kiadási idejéről. Chris Rouland, az ISS X-Force elnevezésű kutatási és fejlesztési csoportjának igazgatója úgy véli, a társaság helyesen döntött, amikor bejelentette a problémát, és nem mellékesen javítást is biztosított hozzá.
- A 10 millió hackerrel versengünk, akik odakinn megpróbálják feltörni a webszervereket - mondta. - Azzal, hogy bejelentettük a hibát, a hackerek dolgát nehezítettük meg, mivel eggyel kevesebb titkos fegyverük maradt - tette hozzá Rouland.
A vezető úgy véli, a társaság felelősségteljesen cselekedett, mivel javítást is biztosított a problémára. Sajnos azonban az ISS figyelmét elkerülte, hogy a biztonsági rés nem csak a Windows-alapú Apache verziót érinti, hanem bizonyos fokon a többi változat is.
Mark Litchfield, a Next-Generation Security Software társalapítója az ISS-szel egyidőben találta meg a biztonsági problémát. Litchfield az Apache Foundationnal együttműködve megállapította, hogy a probléma az Apache minden változatát érinti, igaz különböző mértékben.
Cox szerint ha az ISS értesítette volna az Apache Foundation-t, vagy a CERT-et a problémáról mielőtt nyilvánosságra hozza, kiderült volna, hogy a szervezet már vizsgálja a különböző platformok érintettségét. Így ez a lehetőség elveszett.