Sel nädalal avalikustatud kriitiline viga Delinea salaserveri SOAP API-s pani turvameeskonnad plaastrit välja töötama. Kuid teadlane väidab, et võttis nädalaid tagasi ühendust privilegeeritud juurdepääsuhalduse pakkujaga, et neid veast hoiatada, kuid talle öeldi, et tal ei ole õigust juhtumit algatada.
Delinea kõigepealt avalikustas SOAP-i lõpp-punkti vea 12. aprillil. Järgmiseks päevaks olid Delinea meeskonnad välja töötanud automaatse paranduse pilve juurutamiseks ja allalaadimise kohapealsete salaserverite jaoks. Kuid Delinea polnud esimene, kes häiret tõstis.
Haavatavuse, millele ikka veel ei ole määratud CVE-d, avalikustas esmakordselt teadlane Johnny Yu, kes esitas selle kohta üksikasjaliku analüüsi. Delinea salaserver väljaandes, lisades, et ta oli püüdnud müüjaga ühendust võtta alates 12. veebruarist, et viga vastutustundlikult avalikustada. Pärast koostööd Carnegie Melloni ülikooli CERT-i koordineerimiskeskusega ja nädalaid kestnud Delina vastuseta otsustas Yu oma leiud 10. veebruaril avaldada.
"Saatsin Delineale meili ja nende vastuses öeldi, et mul ei ole õigust juhtumit algatada, kuna ma ei ole maksva kliendi/organisatsiooniga seotud," kirjutas Yu.
Pärast ajaskaala, mis näitas mitmeid ebaõnnestunud katseid Delineaga ühendust võtta, ja CERT-i avalikustamise pikendamist avaldas Yu oma uurimuse.
Delinea esitas e-kirjaga avalduse leevendamise oleku kohta, kuid ei vastanud küsimustele avalikustamise ja vastamise ajakava kohta.
Juurdepääsu tarnija vaikimine selles küsimuses jätab lahtiseks küsimused selle kohta, kes saavad ettevõttele vigu esitada, millistel tingimustel nad saavad esitada ja kas tulevikus tehakse protsessis muudatusi viisis, kuidas Delinea avalikustamisi haldab.
Vuln Volume võitlused pole Delinea jaoks ainulaadne
Critical Starti ohuuuringute vanemjuhi Callie Guentheri sõnul viitab reageerimisalase teabevahetuse puudumine Delina lappimisprotsessidega seotud probleemidele. Kuid ta selgitab, et haavatavuse haldamise muserdav kaal võtab oma osa.
Hiljuti ütles riiklik teaduse ja tehnoloogia instituut (NIST), et enam ei saa vigade arvuga sammu pidada esitas riiklikule haavatavuse andmebaasile ja palus valitsusel ja ka erasektoril abi.
"See pole Delinea jaoks ainulaadne; tehnoloogiaettevõtted seisavad sageli silmitsi väljakutsetega, kuidas tasakaalustada kiiret reageerimist plaastrite põhjaliku testimise vajadusega, ”selgitab Guenther Dark Readingile. "See olukord peegeldab suuremat suundumust, kus haavatavuste keerukus ja maht võivad seada väljakutse turvaprotokollidele."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
