A Delinea Secret Server SOAP API-jának ezen a héten nyilvánosságra hozott kritikus hibája miatt a biztonsági csapatok versenyeztek egy javítás kihelyezésére. Egy kutató azonban azt állítja, hogy hetekkel ezelőtt felvette a kapcsolatot a kiváltságos hozzáférés-kezelő szolgáltatóval, hogy figyelmeztesse őket a hibára, de közölték vele, hogy nem jogosult ügyet indítani.
Delinea először nyilvánosságra hozta a SOAP végpont hibáját április 12-én. Másnapra a Delinea csapatai bevezettek egy automatikus javítást a felhőalapú telepítésekhez és egy letöltést a helyszíni titkos szerverekhez. De nem Delinea volt az első, aki riasztotta.
A sebezhetőséget, amelyhez még mindig nem tartozik hozzárendelt CVE, először Johnny Yu kutató hozta nyilvánosságra, aki részletes elemzést készített a Delinea titkos szerver szám, hozzátéve, hogy február 12-e óta próbálta felvenni a kapcsolatot az eladóval, hogy felelősségteljesen feltárja a hibát. Miután együttműködött a Carnegie Mellon Egyetem CERT Koordinációs Központjával, és hetekig nem válaszolt Delina, Yu úgy döntött, hogy február 10-én nyilvánosságra hozza megállapításait.
„Küldtem egy e-mailt a Delineának, és a válaszuk azt állította, hogy nem vagyok jogosult ügyet indítani, mivel nem vagyok kapcsolatban fizető ügyféllel/szervezettel” – írta Yu.
A Delineával való kapcsolatfelvételre irányuló több sikertelen kísérletet bemutató idővonal és a CERT által biztosított közzététel meghosszabbítása után Yu közzétette kutatását.
A Delinea e-mailben nyilatkozott az enyhítés állapotáról, de nem válaszolt a nyilvánosságra hozatal és a válaszadás ütemtervével kapcsolatos kérdésekre.
A hozzáférés-szolgáltató hallgatása a témában nyitott kérdéseket vet fel azzal kapcsolatban, hogy ki küldhet be hibákat a cégnek, milyen körülmények között küldheti be, és hogy a jövőben módosulnak-e a folyamatok a Delinea adatkezelési módjában.
A Vuln kötet nem egyedülálló a Delinea számára
Callie Guenther, a Critical Start fenyegetéskutatásért felelős vezető menedzsere szerint a válaszokkal kapcsolatos kommunikáció hiánya „problémákat” jelez a Delina javítási folyamataival kapcsolatban. Elmagyarázza azonban, hogy a sebezhetőség-kezelés nyomasztó súlya az egész fórumon megviseli a hatását.
Nemrég az Országos Tudományos és Technológiai Intézet (NIST) azt mondta, hogy már nem lépést tartani a hibák számával benyújtotta a Nemzeti Sérülékenységi Adatbázisnak, és a kormány, valamint a magánszektor segítségét kérte.
„Ez nem csak Delineára jellemző; a technológiai vállalatok gyakran szembesülnek kihívásokkal a gyors reagálás és a javítások alapos tesztelésének szükségessége között” – magyarázza Guenther a Dark Readingnek. "Ez a helyzet egy nagyobb tendenciát tükröz, ahol a sérülékenységek összetettsége és mennyisége kihívást jelenthet a biztonsági protokolloknak."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
- :is
- :nem
- :ahol
- $ UP
- 10
- 12
- 7
- a
- Képes
- Rólunk
- hozzáférés
- Szerint
- át
- hozzáadásával
- Társult
- Után
- Augusztus
- riasztás
- Éber
- am
- an
- elemzés
- elemző
- és a
- bármilyen
- api
- április
- VANNAK
- AS
- kijelölt
- At
- Kísérletek
- Automatikus
- kiegyensúlyozó
- BE
- óta
- bizottság
- Bogár
- bogarak
- de
- by
- TUD
- Carnegie Mellon
- eset
- Központ
- kihívás
- kihívások
- Változások
- körülmények
- követelések
- felhő
- közlés
- Companies
- vállalat
- bonyolultság
- kapcsolat
- összehangolás
- kritikai
- cve
- sötét
- Sötét olvasmány
- adatbázis
- nap
- határozott
- bevetések
- részletes
- DID
- nyilvánosságra
- közzététel
- nem
- letöltés
- választható
- Endpoint
- Elmagyarázza
- kiterjesztés
- Arc
- Sikertelen
- Február
- megállapítások
- vezetéknév
- Rögzít
- javítások
- hibája
- A
- ból ből
- jövő
- Goes
- Kormány
- megadott
- kellett
- Legyen
- he
- segít
- övé
- HTTPS
- i
- in
- Intézet
- kérdés
- kérdések
- IT
- ITS
- Johnny
- jpg
- hiány
- nagyobb
- hosszabb
- készült
- vezetés
- menedzser
- kezeli
- közepes
- Mellon
- enyhítés
- nemzeti
- Szükség
- következő
- nst
- nem
- szám
- of
- gyakran
- on
- csak
- nyitva
- ki
- Tapasz
- Patches
- Foltozás
- fizet
- Plató
- Platón adatintelligencia
- PlatoData
- magán
- magánszektor
- kiváltságos
- folyamat
- Folyamatok
- protokollok
- feltéve,
- ellátó
- nyilvános
- nyilvánosan
- közzétett
- Kérdések
- verseny
- emel
- gyors
- Olvasás
- tükrözi
- engedje
- kutatás
- kutató
- Reagálni
- válasz
- felelősségteljesen
- Tekercs
- tekercselt
- s
- Mondott
- Tudomány
- Tudomány és technológia
- Titkos
- szektor
- biztonság
- idősebb
- küldött
- szerver
- Szerverek
- számos
- ő
- mutató
- jelek
- Csend
- óta
- helyzet
- szappan
- kezdet
- meghatározott
- nyilatkozat
- Állapot
- Még mindig
- küzdelmek
- beküldése
- benyújtott
- bevétel
- csapat
- tech
- tech cégek
- Technológia
- Tesztelés
- hogy
- A
- A jövő
- azok
- Őket
- Ott.
- ők
- ezt
- ezen a héten
- alapos
- fenyegetés
- időrendben
- nak nek
- mondta
- tendencia
- próbál
- alatt
- egyedi
- egyetemi
- eladó
- kötet
- sérülékenységek
- sebezhetőség
- volt
- nem volt
- Út..
- hét
- Hetek
- súly
- JÓL
- Mit
- vajon
- ami
- WHO
- lesz
- val vel
- dolgozó
- írt
- zephyrnet