Новости Скрывают или недоговаривают? Ivanti и Juniper подверглись критике за неподобающее раскрытие софтверных проблем

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Эксперты по безопасности напомнили ключевые правила информирования об уязвимостях.


y56l29304l8yja2agngt9vkji5pakl5w.jpg


Недавно Для просмотра ссылки Войди или Зарегистрируйся , что в крупных технологических компаниях Juniper и Ivanti наблюдаются серьёзные нарушения в процессе регистрации уязвимостей в соответствующих органах. По данным исследователей, эти компании не соблюдают установленные правила при обращении с информацией о проблемах с безопасностью.

В конце прошлого года исследователь безопасности Ализ Хаммонд из watchTowr сообщил представителям Juniper о ряде проблем в их программном обеспечении. Компания провела собственное расследование и попросила эксперта задержать публикацию информации до устранения недостатков.

Позже Хаммонд Для просмотра ссылки Войди или Зарегистрируйся , что в последнем пакете исправлений Juniper целых четыре уязвимости, которые подробно описал исследователь, не получили уникальных номеров CVE, включая уязвимость, связанную с отсутствием аутентификации.

Примерно в том же обвиняют и Ivanti, которая намеренно объединяет по несколько уязвимостей в один CVE-идентификатор. Так, один из исследователей сообщил, что как минимум пять разных уязвимостей компания зарегистрировала под одним идентификатором.

Вполне возможно, таким образом обе компании стремились искусственно занизить число выявляемых уязвимостей и сократить количество негативных упоминаний в СМИ. Однако теперь, похоже, уловка раскрылась. Едва ли это скажется на их репутации положительно.

Общепринятая практика работы с уязвимостями включает регистрацию каждого отдельного недостатка безопасности под своим уникальным номером CVE, чтобы максимально облегчить идентификацию и управление исправлениями, а также избежать путаницы.

В своё оправдание, Ivanti заявила, что делает это ради упрощения коммуникации с клиентами, а Juniper — во имя безопасности, чтобы дать клиентам время на обновление до актуальных версий софта.

В целом, все исправления обе компании обычно выпускают в срок, и здесь нет явных нарушений правил. Однако вышеописанная практика регистрации CVE была осуждена со стороны многих экспертов безопасности.

Адам Пилтон из компании CyberSmart подчеркнул, что, хотя временных ограничений на присвоение номеров CVE нет, рекомендуется регистрировать их как можно скорее и под уникальными идентификаторами, чтобы обеспечить своевременное устранение уязвимостей и избежать путаницы.

Он также отметил, что задержка в сообщении об уязвимостях действительно может быть необходима для обеспечения ответственного раскрытия информации и защиты пользователей, но и здесь нужно чувствовать тонкую грань баланса, чтобы не оставить пользователей в неведении о потенциальных рисках безопасности в их системах.
 
Источник новости
www.securitylab.ru

Похожие темы