Kritična napaka v Delinea's Secret Server SOAP API, ki je bila razkrita ta teden, je varnostne ekipe pospešeno uvedla popravek. Toda raziskovalec trdi, da je pred tedni stopil v stik s ponudnikom upravljanja privilegiranega dostopa, da bi jih opozoril na napako, a so mu povedali, da ni upravičen do odprtja primera.
Najprej Delinea razkril napako končne točke SOAP 12. aprila. Do naslednjega dne so ekipe Delinea uvedle samodejni popravek za uvedbe v oblaku in prenos za lokalne tajne strežnike. Toda Delinea ni bila prva, ki je sprožila alarm.
Ranljivost, ki še vedno nima dodeljenega CVE, je prvi javno razkril raziskovalec Johnny Yu, ki je zagotovil podrobno analizo Skrivni strežnik Delinea izdajo in dodal, da je od 12. februarja poskušal vzpostaviti stik s prodajalcem, da bi odgovorno razkril napako. Po sodelovanju s koordinacijskim centrom CERT na Univerzi Carnegie Mellon in tednih brez odgovora Deline se je Yu odločil, da objavi svoje ugotovitve 10. februarja.
"Poslal sem e-poštno sporočilo Delinei in njihov odgovor je navajal, da nisem upravičen do odprtja primera, ker nisem povezan s stranko/organizacijo, ki plačuje," je zapisal Yu.
Po časovnici, ki prikazuje več neuspelih poskusov vzpostavitve stika z Delineo in podaljšanju razkritja, ki ga je odobril CERT, je Yu objavil svojo raziskavo.
Delinea je po e-pošti posredovala izjavo o statusu ublažitve, ni pa odgovorila na vprašanja o časovnici razkritja in odgovora.
Molk prodajalca dostopa o tem vprašanju pušča odprta vprašanja o tem, kdo lahko podjetju predloži hrošče, v kakšnih okoliščinah jih lahko predloži in ali bodo v prihodnje spremenjeni procesi, kako Delinea upravlja z razkritji.
Vuln Volume Struggles ni edinstven za Delineo
Po Callie Guenther, višji vodji raziskave groženj pri Critical Start, pomanjkanje komunikacije o odzivu signalizira "težave" pri Delininih procesih popravkov. Toda, pojasnjuje, ogromna teža upravljanja ranljivosti terja svoj davek na vseh področjih.
Pred kratkim je Nacionalni inštitut za znanost in tehnologijo (NIST) dejal, da ne more več sledite številu hroščev predložil v nacionalno bazo podatkov o ranljivosti in zaprosil vlado in zasebni sektor za pomoč.
»To ni edinstveno za Delineo; tehnološka podjetja se pogosto srečujejo z izzivi pri usklajevanju hitrega odziva s potrebo po temeljitem testiranju popravkov,« pojasnjuje Guenther za Dark Reading. "Ta situacija odraža večji trend, kjer lahko kompleksnost in obseg ranljivosti izpodbijata varnostne protokole."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
- : je
- :ne
- :kje
- $GOR
- 10
- 12
- 7
- a
- Sposobna
- O meni
- dostop
- Po
- čez
- dodajanje
- Pridružen
- po
- Avgust
- Alarm
- Opozorite
- am
- an
- Analiza
- Analitik
- in
- kaj
- API
- april
- SE
- AS
- dodeljena
- At
- Poskusi
- Samodejno
- uravnoteženje
- BE
- bilo
- svet
- Bug
- hrošči
- vendar
- by
- CAN
- Carnegie Mellon
- primeru
- center
- izziv
- izzivi
- Spremembe
- okoliščinah
- terjatve
- Cloud
- Komunikacija
- Podjetja
- podjetje
- kompleksnost
- kontakt
- usklajevanje
- kritično
- cve
- Temnomodra
- Temno branje
- Baze podatkov
- dan
- odločil
- razmestitve
- podrobno
- DID
- Razkrije
- razkritje
- ne
- prenesi
- upravičeni
- E-naslov
- Končna točka
- Pojasni
- razširitev
- Obraz
- ni uspelo
- februar
- Ugotovitve
- prva
- fiksna
- popravke
- napaka
- za
- iz
- Prihodnost
- goes
- vlada
- odobreno
- imel
- Imajo
- he
- pomoč
- njegov
- HTTPS
- i
- in
- Inštitut
- vprašanje
- Vprašanja
- IT
- ITS
- Johnny
- jpg
- Pomanjkanje
- večja
- več
- je
- upravljanje
- upravitelj
- upravlja
- srednje
- Mellon
- ublažitev
- nacionalni
- Nimate
- Naslednja
- nst
- št
- Številka
- of
- pogosto
- on
- samo
- odprite
- ven
- Patch
- Obliži
- Zaplata
- plačilna
- platon
- Platonova podatkovna inteligenca
- PlatoData
- zasebna
- Zasebni sektor
- privilegiran
- Postopek
- Procesi
- protokoli
- če
- Ponudnik
- javnega
- javno
- objavljeno
- vprašanja
- racing
- dvigniti
- hitro
- reading
- odseva
- sprostitev
- Raziskave
- raziskovalec
- Odzove
- Odgovor
- odgovorno
- Roll
- Valjani
- s
- Je dejal
- Znanost
- Znanost in tehnologija
- skrivnost
- sektor
- varnost
- višji
- poslan
- strežnik
- Strežniki
- več
- je
- Prikaz
- signali
- Tišina
- saj
- Razmere
- milo
- Začetek
- navedla
- Izjava
- Status
- Še vedno
- Borbe
- predloži
- predložen
- ob
- Skupine
- tech
- Tech podjetja
- Tehnologija
- Testiranje
- da
- O
- Prihodnost
- njihove
- Njih
- Tukaj.
- jih
- ta
- ta teden
- temeljito
- Grožnja
- časovnica
- do
- Rekel
- Trend
- poskuša
- pod
- edinstven
- univerza
- Prodajalec
- Obseg
- Ranljivosti
- ranljivost
- je
- ni bilo
- način..
- teden
- Weeks
- teža
- Dobro
- Kaj
- ali
- ki
- WHO
- bo
- z
- deluje
- Napisal
- zefirnet