Badlockの脆弱性は修正されましたが、セキュリティの誇大宣伝には耐えられませんでした

キャッチーな名前とロゴのある最新のセキュリティー欠陥であるBadlockは修正されましたが、論争の邪魔になることはありませんでした。

続きを読む

CIAが暗号化バックドアを望んでいるのは、知性ではなくリーダーシップに欠けている理由です。データへのバックドアアクセスを拒否するAppleは罰金に遭うかもしれませんが、NSAはデータで圧倒されてしまい、効果がなくなっています。議会で「恐怖とパニック」、マイクロソフトのデータケースが米国のハイテク産業を解明する方法、「隠すものは何もない」場合はここでパスワードを送信する場所、データをNSAに提供する影のあるテクニカルブローカーに会う

LinuxとUnixのサーバとWindows PCをネットワークで接続するオープンソースのソフトウェアであるSambaは、攻撃者が中間者やサービス拒否攻撃を行うための7つの個別の脆弱性を修正した。

一部の人は、コードを効果的に修正する脆弱性を公に公開して、開発者に利益をもたらすと非難した。

ホワイトハウスが連邦最高情報セキュリティ責任者を任命、セキュリティ、国防総省によるサイバー緊急対応の批判、セキュリティ、HTTP接続を安全でないと表示するChrome、セキュリティ、Hyperledgerプロジェクトがギャングバスターのように成長している

チームは、Sambaのバージョン3.6以降が影響を受けていたが、バージョン4.2以降のWebサイトでのみ修正をリリースしたという。

いわゆる「バッドロック」脆弱性を総称して、攻撃者がトラフィックをリッスンしたり、セッションのダウングレードを開始したり、セッションを乗っ取りしたりすることができます。簡単に言えば、攻撃者は影響を受けるサーバー上でユーザーのパスワードやその他の機密情報を明らかにすることができます。

この欠陥はSambaを実行しているWindowsサーバに特に影響するだけでなく、SambaがバンドルされているLinuxのほぼすべてのバージョンにも影響する。

マイクロソフトは、火曜日に予定されているセキュリティ修正の月間リリースの一環としてリリースされたパッチの「重要な」欠陥に対処しましたが、最高水準の「クリティカル」レベルで問題を評価することを躊躇しました。広報担当者は、4月の更新を適用するユーザーは「自動的に保護される」と述べた。

この欠陥の影響を受けるLinuxディストリビューションの1つであるRed Hatのセキュリティストラテジスト、Josh Bressersは、Badlockは「オープンソースコミュニティによって特定され、対処された潜在的に危険な攻撃の1つ」であると電子メールで述べている。

しかし誰もが、そのバグは他の人たちが主張していたほど深刻だとは考えていませんでした。

警備会社Trustwaveの脅威情報管理責任者、Karl Siglerは、火曜日のブログ記事で、開示に先立つ3週間のリードタイムは何が来るべきかを示す重要な指標だと述べた。

「さて、私たちは詳細を知っているし、ほとんどの人がバドロックをバストと見なすだろうと思っている」とシグラー氏は語った。

ソースコードが間違った手に入ると、損害は決して犠牲にならないでしょう。

「これは確かに懸念事項であり、管理者は可能な限り早期にシステムにパッチを当てるべきだが、この脆弱性が、専用ウェブサイトと3週間のビルドアップがバッドロックを与えていることに焦点を当てるべきレベルまで上昇するとは言えない」 。

今日までセキュリティの欠陥についてはほとんど知られていませんでしたが、間違った理由がなければ注意を喚起しました。

先週のバグにより、3週間以内に予定されているパッチ適用前にこの欠陥を悪用する可能性があるという非難の中で、先制的な広報活動はセキュリティコミュニティからの怒りを引き出している。

SerNet社の従業員であるStefan Metzmacher氏はこの欠陥を発見したが、Sambaのソースコードファイルの中には、2002年までに数百の名前が付けられているという分析もある。

Metzmacherの開発作業とこの欠陥の発見との間の密接なつながりにより、会社は自分のコードを効果的に修正していたことから利益を得ようとしていると非難している。

私たちが手を差し伸べると、Metzmacherは質問に答えなかった。

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ChromeがHTTP接続に安全でないとラベル付けを開始する

Hyperledgerプロジェクトはギャングバスターのように成長しています