Symantec avviser sendrektig fiksing

Symantec avviser kategorisk at de visst om hull i sin brannmur et års tid før de tettet dem.

Tidligere denne måneden påsto det danske sikkerhetsselskapet Advanced IT Security at Symantec hadde visst om hull i flere brannmur i bedriftsklassen i ett år før de fikk tettet dem.

Les også:

- Dette stemmer overhodet ikke, sier pressetalsperson Richard Saunders til digi.no.


- Vi hadde ikke på noe tidspunkt kjennskap til at "visse miljøer" helt siden i fjor høst visste om de to hullene som vi tettet i august og september i år. Dette er påstander som er fremmet i ettertid, og som ikke er dokumentert overfor oss.

Saunders sier at Advanced IT ved Tommy Mikalsen varslet Symantec 22. august og 27. august om sårbarheter som Symantec omtaler som henholdsvis minnelekkasje og informasjonslekkasje.

- Da vi ble kontaktet om minnelekkasjen 22. august hadde vi allerede oppdaget sårbarheten, og var i ferd med å lage en fiks. Denne ble publisert på vårt nettsted for teknisk support 30. september. Fem dager seinere ble vi igjen kontaktet av Advanced IT Security, denne gangen om informasjonslekkasjen. På det tidspunktet hadde vi for lengst, det vil si 1. august, publisert en fiks.

Det er to problemer knyttet til denne forklaringen og til lenkene som Saunders oppgir til disse fiksene. Det ene er at begge fiksene er formelt datert 13. oktober, mens web-adressene antyder at de er lagt ut 11. oktober. Det andre er at i begge fiksene takkes Mikalsen for "hjelp til å identifisere dette anliggendet slik at vi rask kunne ta mottiltak."

Dette er de to fiksene, som alle med bedriftsbrannmurer fra Symantec bør sjekke med tanke på mulige følger for egne systemer:
1. Symantec Firewall Secure Webserver timeout DoS
2. Symantec Enterprise Firewall Secure Webserver info leak

Til toppen