Avslører sårbarheter uten å si fra først

Russisk sikkerhetsselskap gidder ikke samarbeide med leverandørene lenger.

12. jan. 2010 - 10:50

Det lille, russiske IT-sikkerhetsselskapet Intevydis publiserte i går den første av en rekke eksempler på hvordan man kan utnytte til nå ukjente sårbarheter i ulike typer serverprogramvare.

Etter planen skal avsløringene pågå i tre uker.

I denne første uken fokuseres det på sårbarheter i katalogservere. Det loves avsløringer om sårbarheter i blant annet Novell eDirectory, Sun Directory og Tivoli Directory.

Den første av avsløringene kom i går og gjelder Sun Directory Server 7.0. Sårbarheten åpner for tjenestenektangrep mot serveren.

I neste uke fokuseres det på sårbarheter i webservere, blant annet Zeus Web Server, Sun Web Server og trolig også Apache.

I uken som starter den 25. januar er det fokus på databasesårbarheter. Mysql, IBM DB2, Lotus Domino, Informix og muligens Oracle er blant de berørte produktene.

I et blogginnlegg skriver Evgeny Legerov, grunnlegger av Intevydis, at det vanlige er at sikkerhetsselskapet varsler programvareleverandørene i god tid - typisk en måned - før informasjon om sårbarheter offentliggjøres. Intevydis støtter ikke lenger denne praksisen, fordi selskapet mener at det kun fører til at sikkerhetsselskapene gjør gratisarbeid for programvareleverandørene, et arbeid Legerov mener leverandørene egentlig burde ha gjort selv.

- Etter å ha samarbeidet med leverandørene lenge nok, har vi konkludert med at det ganske enkelt er bortkastet tid. Nå kontakter vi ikke leverandørene og støtter ikke lenger «responsible disclosure»-policyen, sier Legerov til KrebsOnSecurity.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra