JohnnyCage

Túl gyorsan fény derült a hibára?

Egy számítógépes biztonsági kérdésekkel foglalkozó társaság a napokban azért kapott éles kritikát, mert túlzottan hamar nyilvánosságra hozott egy Apache szerver biztonsági problémát.

A szabadforrású megoldást fejlesztő közösség élesen bírálta az Internet Security Systems-t, amiért a hálózati biztonsági problémákkal foglalkozó társaság idő előtt nyilvánosságra hozott egy biztonsági rést, amely a világ legelterjedtebb webszerver alkalmazásában, az Apache-ban található. Az Apache Foundation-nek így gyakorlatilag nem maradt ideje reagálni a problémára, és javítást készíteni hozzá, mielőtt a nyilvánosság tudomást szerez róla.

Mark Cox, az Apache Foundation alapító tagja úgy véli, a probléma súlyosságának tekintetében hiba volt azt egyből nyilvánosságra hozni ahelyett, hogy a társaság először a fejlesztőket értesítette volna. - Különböznek a vélemények azzal kapcsolatban, hogy mennyi időt kell hagyni a szoftverfejlesztőnek a probléma kijavítására - mondta Cox. - Egyesek szerint meg kell várni a javítás elkészítését, mások szerint tíz óra is elég. Mindenesetre a két óra, amennyit mi kaptunk, aligha nevezhető elegendőnek - tette hozzá.

Mind az ISS, mind az Apache Foundation bejelentette hétfőn azt a biztonsági rést, amely egy szimpla HTTP utasítással lehetővé teszi DoS támadások indítását az Apache webszervert futtató mintegy 10,4 millió szerver bármelyikéről. Egyes régebbi, Windows-, illetve 64 bites Unix-alapú változatoknál a probléma még súlyosabb, és lehetővé teszi a támadó számára a szerver feletti irányítás megszerzését is.

A probléma gyors nyilvánosságra hozatala újból felhevítette a vitát a szakértők között a biztonsági hibákra figyelezető felhívások megfelelő kiadási idejéről. Chris Rouland, az ISS X-Force elnevezésű kutatási és fejlesztési csoportjának igazgatója úgy véli, a társaság helyesen döntött, amikor bejelentette a problémát, és nem mellékesen javítást is biztosított hozzá.

- A 10 millió hackerrel versengünk, akik odakinn megpróbálják feltörni a webszervereket - mondta. - Azzal, hogy bejelentettük a hibát, a hackerek dolgát nehezítettük meg, mivel eggyel kevesebb titkos fegyverük maradt - tette hozzá Rouland.

A vezető úgy véli, a társaság felelősségteljesen cselekedett, mivel javítást is biztosított a problémára. Sajnos azonban az ISS figyelmét elkerülte, hogy a biztonsági rés nem csak a Windows-alapú Apache verziót érinti, hanem bizonyos fokon a többi változat is.

Mark Litchfield, a Next-Generation Security Software társalapítója az ISS-szel egyidőben találta meg a biztonsági problémát. Litchfield az Apache Foundationnal együttműködve megállapította, hogy a probléma az Apache minden változatát érinti, igaz különböző mértékben.

Cox szerint ha az ISS értesítette volna az Apache Foundation-t, vagy a CERT-et a problémáról mielőtt nyilvánosságra hozza, kiderült volna, hogy a szervezet már vizsgálja a különböző platformok érintettségét. Így ez a lehetőség elveszett.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Veriel #3
    Ja. Kicsit se feltuno...
  • Laci73 #1
    Az Apache inkább a jó nevét és az ügyfeleit félti, semmint a hackerektől fél...