本周披露的 Delinea 秘密服务器 SOAP API 中的一个严重缺陷促使安全团队竞相推出补丁。但一名研究人员声称,他几周前联系了特权访问管理提供商,提醒他们注意该错误,却被告知他没有资格立案。
德琳娜第一 披露了 SOAP 端点缺陷 12 月 XNUMX 日。到第二天,Delinea 团队就推出了针对云部署的自动修复以及针对本地秘密服务器的下载。但德琳娜并不是第一个发出警报的人。
该漏洞仍然没有指定的 CVE,首先由研究人员 Johnny Yu 公开披露,他提供了对该漏洞的详细分析。 德琳娜秘密服务器 问题,并补充说自 12 月 10 日以来他一直试图联系供应商以负责任地披露该缺陷。在与卡内基梅隆大学 CERT 协调中心合作后,Delina 数周没有做出任何回应,Yu 决定于 XNUMX 月 XNUMX 日发布他的调查结果。
“我向 Delinea 发送了一封电子邮件,他们的回复称我没有资格立案,因为我不隶属于付费客户/组织,”Yu 写道。
在一段时间线显示多次尝试联系 Delinea 失败以及 CERT 同意延长披露期限后,Yu 发表了他的研究。
Delinea 提供了一份有关缓解措施状态的电子邮件声明,但没有回答有关披露和响应时间表的问题。
访问供应商在这个问题上保持沉默,留下了一些悬而未决的问题:谁可以向公司提交错误,在什么情况下可以提交,以及未来 Delinea 管理披露的方式是否会发生任何流程变化。
Vuln 容量问题并非 Delinea 所独有
Critical Start 威胁研究高级经理 Callie Guenther 表示,缺乏有关响应的沟通表明 Delina 的修补流程存在“问题”。但是,她解释说,漏洞管理的沉重负担正在全面造成影响。
近日,美国国家科学技术研究院(NIST)表示,不能再 跟上错误的数量 提交给国家漏洞数据库,并请求政府和私营部门提供帮助。
“这并不是德琳娜独有的;科技公司经常面临平衡快速响应与彻底测试补丁的需要的挑战,”Guenther 向 Dark Reading 解释道。 “这种情况反映了一个更大的趋势,即漏洞的复杂性和数量可以挑战安全协议。”
