Avslører sårbarheter uten å si fra først

Russisk sikkerhetsselskap gidder ikke samarbeide med leverandørene lenger.

Det lille, russiske IT-sikkerhetsselskapet Intevydis publiserte i går den første av en rekke eksempler på hvordan man kan utnytte til nå ukjente sårbarheter i ulike typer serverprogramvare.

Etter planen skal avsløringene pågå i tre uker.

I denne første uken fokuseres det på sårbarheter i katalogservere. Det loves avsløringer om sårbarheter i blant annet Novell eDirectory, Sun Directory og Tivoli Directory.

Den første av avsløringene kom i går og gjelder Sun Directory Server 7.0. Sårbarheten åpner for tjenestenektangrep mot serveren.

I neste uke fokuseres det på sårbarheter i webservere, blant annet Zeus Web Server, Sun Web Server og trolig også Apache.

I uken som starter den 25. januar er det fokus på databasesårbarheter. Mysql, IBM DB2, Lotus Domino, Informix og muligens Oracle er blant de berørte produktene.

I et blogginnlegg skriver Evgeny Legerov, grunnlegger av Intevydis, at det vanlige er at sikkerhetsselskapet varsler programvareleverandørene i god tid - typisk en måned - før informasjon om sårbarheter offentliggjøres. Intevydis støtter ikke lenger denne praksisen, fordi selskapet mener at det kun fører til at sikkerhetsselskapene gjør gratisarbeid for programvareleverandørene, et arbeid Legerov mener leverandørene egentlig burde ha gjort selv.

- Etter å ha samarbeidet med leverandørene lenge nok, har vi konkludert med at det ganske enkelt er bortkastet tid. Nå kontakter vi ikke leverandørene og støtter ikke lenger «responsible disclosure»-policyen, sier Legerov til KrebsOnSecurity.

    Les også:

Til toppen