今週明らかになった Delinea の Secret Server SOAP API の重大な欠陥により、セキュリティ チームはパッチの展開を急いでいます。しかし、ある研究者は、数週間前に特権アクセス管理プロバイダーに連絡してバグについて警告したが、訴訟を起こす資格がないと言われたと主張している。
まずはデリネア SOAP エンドポイントの欠陥を明らかにした 翌日までに、Delinea チームはクラウド展開の自動修正とオンプレミスの Secret Server のダウンロードを展開しました。しかし、最初に警鐘を鳴らしたのはデリネアではなかった。
この脆弱性はまだ CVE が割り当てられていないが、研究者の Johnny Yu によって初めて公表され、彼は詳細な分析を提供した。 デリネア シークレット サーバー 同氏は責任を持って欠陥を開示するために、12月10日以来ベンダーに連絡を取ろうとしていると付け加えた。カーネギーメロン大学の CERT コーディネーション センターと協力し、数週間デリーナからの返答がなかった後、Yu 氏は XNUMX 月 XNUMX 日に調査結果を発表することを決めました。
「私はデリネアに電子メールを送信しましたが、その返答には、私には料金を支払っている顧客/組織に所属していないため、ケースを開く資格がないと書かれていました」とユウ氏は書いています。
Delinea への連絡の失敗を示すタイムラインと、CERT によって許可された開示の延長を示した後、Yu 氏は自身の研究を発表しました。
デリネア氏は緩和の状況について電子メールで声明を発表したが、開示と対応のスケジュールに関する質問には応じなかった。
この問題についてアクセス ベンダーが沈黙しているため、誰が同社にバグを提出できるのか、どのような状況でバグを提出できるのか、将来的に Delinea の開示管理方法にプロセス変更が加えられるかどうかについては未解決の疑問が残っています。
Vuln のボリューム問題は Delinea に特有のものではない
クリティカル・スタート社の脅威研究担当シニアマネージャー、キャリー・ギュンサー氏によると、対応に関するコミュニケーションの欠如は、デリーナのパッチ適用プロセスに「問題」があることを示しているという。しかし、脆弱性管理の圧倒的な重みが全体に悪影響を及ぼしていると彼女は説明します。
最近、国立科学技術研究所 (NIST) は、それはもはや不可能であると述べました。 バグの数を把握し続ける 国家脆弱性データベースに提出し、政府だけでなく民間部門にも支援を求めました。
「これはデリネアに限ったことではありません。テクノロジー企業は、迅速な対応とパッチの徹底的なテストの必要性のバランスをとるという課題に直面することがよくあります」とギュンター氏は Dark Reading に説明します。 「この状況は、脆弱性の複雑さと量がセキュリティ プロトコルに課題をもたらす可能性があるという、より大きな傾向を反映しています。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
- :は
- :not
- :どこ
- $UP
- 10
- 12
- 7
- a
- できる
- 私たちについて
- アクセス
- 従った
- 越えて
- 追加
- 所属している
- 後
- 前
- アラーム
- 警告
- am
- an
- 分析
- アナリスト
- および
- どれか
- API
- 4月
- です
- AS
- 割り当てられた
- At
- 試み
- オートマチック
- バランシング
- BE
- き
- ボード
- バグ
- バグ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- カーネギーメロン
- 場合
- センター
- 挑戦する
- 課題
- 変更
- 状況
- クレーム
- クラウド
- コミュニケーション
- 企業
- 会社
- 複雑さ
- 接触
- コーディネーション
- 重大な
- シーブ
- 暗いです
- 暗い読書
- データベース
- 中
- 決定しました
- 配備
- 詳細な
- DID
- 開示する
- 開示
- doesnの
- ダウンロード
- 適格
- エンドポイント
- 説明
- 顔
- Failed:
- 2月
- 調査結果
- 名
- 修正する
- 修正
- 欠陥
- から
- 未来
- ゴエス
- 政府・公共機関
- 付与された
- 持っていました
- 持ってる
- he
- 助けます
- 彼の
- HTTPS
- i
- in
- 機関
- 問題
- 問題
- IT
- ITS
- ジョニー
- JPG
- 欠如
- より大きい
- より長いです
- 製
- 管理
- マネージャー
- 管理する
- ミディアム
- メロン
- 緩和
- 国民
- 必要
- 次の
- ニスト
- いいえ
- 数
- of
- 頻繁に
- on
- の
- 開いた
- でる
- パッチ
- パッチ
- 補修
- 支払い
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プライベート
- 民間企業
- 特権を持つ
- プロセス
- ラボレーション
- プロトコル
- 提供
- プロバイダー
- 公共
- 公然と
- 公表
- 質問
- レーシング
- 上げる
- 急速な
- リーディング
- 反映
- リリース
- 研究
- 研究者
- 反応します
- 応答
- 責任をもって
- ロール
- 圧延
- s
- 前記
- 科学
- 科学技術
- 秘密
- セクター
- セキュリティ
- シニア
- 送信
- サーバー
- いくつかの
- 彼女
- 表示
- 信号
- 沈黙
- から
- 状況
- 石鹸
- start
- 明記
- ステートメント
- Status:
- まだ
- 闘争
- 提出する
- 提出された
- 取得
- チーム
- テク
- ハイテク企業
- テクノロジー
- テスト
- それ
- 未来
- アプリ環境に合わせて
- それら
- そこ。
- 彼ら
- この
- 今週
- 完全な
- 脅威
- タイムライン
- 〜へ
- 言われ
- トレンド
- しよう
- 下
- ユニーク
- 大学
- ベンダー
- ボリューム
- 脆弱性
- 脆弱性
- ました
- だった
- 仕方..
- 週間
- ウィークス
- 重量
- WELL
- この試験は
- かどうか
- which
- 誰
- 意志
- ワーキング
- 書いた
- ゼファーネット