Harald Brombach (digi.no) Skrevet 29. november 2017 Del Skrevet 29. november 2017 Milioner av epostservere kan være rammet av alvorlig sårbarhet Lenke til kommentar
Per Buer Skrevet 30. november 2017 Del Skrevet 30. november 2017 At chunking i Exim var svakt er godt kjent. I mars ble det sendt ut varsler på Exim-announce hvor alle brukere ble bedt om å skru av chunking. https://lists.exim.org/lurker/message/20170301.031117.ff024aa8.en.html Forøvrig er det bullshit at "forskeren" ikke fant noe kontaktinformasjon til Exim-prosjektet. Det er ikke verre enn å see på announce-lista, se hvem som har lov til å poste der og ta kontakt med dem. Jeg har gjort det ved minst en anledning. Men at slike "forskere" elsker å lage bruduljer er ikke noe nytt. :-/ Lenke til kommentar
Civilix Skrevet 30. november 2017 Del Skrevet 30. november 2017 (...)Forøvrig er det bullshit at "forskeren" ikke fant noe kontaktinformasjon til Exim-prosjektet. Det er ikke verre enn å see på announce-lista, se hvem som har lov til å poste der og ta kontakt med dem. Jeg har gjort det ved minst en anledning. Men at slike "forskere" elsker å lage bruduljer er ikke noe nytt. :-/ Det er alltid mulig å finne noen som har noe med noe å gjøre, men at det ikke er ett offisielt kontaktpunkt burde ikke være vanskelig å kritisere. Lenke til kommentar
Per Buer Skrevet 30. november 2017 Del Skrevet 30. november 2017 Det er alltid mulig å finne noen som har noe med noe å gjøre, men at det ikke er ett offisielt kontaktpunkt burde ikke være vanskelig å kritisere. Å finne hvem som vedlikeholder Exim er ikke skrekkelig vanskelig. Hvis en google "who wrote exim" så finner en følgende: https://www.exim.org/credits.html Det står ingen epost-adresser listet der og hvis denne "forskeren" ikke greier det så skjønner jeg at det blir vanskelig. Det tar meg dog 2 minutter siden jeg vet bittelitt om hvordan de fleste OSS-prosjekter er organisert. Det er sikkert prosjekter hvor det er vanskelig å finne ut hvem som står bak (bitcoin). Men Exim er altså ikke et slikt prosjekt. 1 Lenke til kommentar
Civilix Skrevet 30. november 2017 Del Skrevet 30. november 2017 Å finne hvem som vedlikeholder Exim er ikke skrekkelig vanskelig. Hvis en google "who wrote exim" så finner en følgende: https://www.exim.org/credits.html Det står ingen epost-adresser listet der og hvis denne "forskeren" ikke greier det så skjønner jeg at det blir vanskelig. Det tar meg dog 2 minutter siden jeg vet bittelitt om hvordan de fleste OSS-prosjekter er organisert. Det er sikkert prosjekter hvor det er vanskelig å finne ut hvem som står bak (bitcoin). Men Exim er altså ikke et slikt prosjekt. Som sagt det er alltid en eller annen måte å finne ut av ting, men hvis prosjektet ikke ønsker at sårbarheter skal legges ut offentlig er det opp til prosjektet å tilrettelegge for en offisiell veg å gi tilbakemelding. Sikkerhetsforskere har ett etisk ansvar om å rapportere til utviklere og gi de mulighet til å rette feilen før det blir offentliggjort, men det er ikke deres jobb å drive etterforskning fordi utvikler ikke gir informasjon. Lenke til kommentar
Per Buer Skrevet 30. november 2017 Del Skrevet 30. november 2017 Som sagt det er alltid en eller annen måte å finne ut av ting, men hvis prosjektet ikke ønsker at sårbarheter skal legges ut offentlig er det opp til prosjektet å tilrettelegge for en offisiell veg å gi tilbakemelding. Sikkerhetsforskere har ett etisk ansvar om å rapportere til utviklere og gi de mulighet til å rette feilen før det blir offentliggjort, men det er ikke deres jobb å drive etterforskning fordi utvikler ikke gir informasjon. Ja. Helt enig i at de har et ansvar. Her har vi dog med et realt rasshøl å gjøre som ikke gidder å bruke 2 minutter før han publisere RCE på programvare som bruker på millioner av maskiner (uten at jeg vet helt hvor mange som er sårbare). Og som i etterkant kommer og påstår "ooh, jeg fant ikke noen måte å nå prosjektet". Maken til patetisk oppførsel. Og seriøst - "sikkerhetsforskere"? Dette har ingenting med forskning å gjøre. De arbeider ikke akkurat vitenskaplig. Sorry, det ble veldig ranty. 1 Lenke til kommentar
Civilix Skrevet 30. november 2017 Del Skrevet 30. november 2017 Sikkerhetsforskerer er langt bedre navn enn 'white hat hacker', 'etical hacker' og lignende. Søker du på google etter "program/leverandør report security issue" er vandligvis en av de første treffa en detaljert artikkel om programmet/leverandørens rutiner for å rapporterte sikkerhetsproblemer. Mange store OSS-prosjekt har også dette, ikke bare komersielle aktører. At exim som er brukt av så mange ikke har dette er da langt mer kritikkverdig enn at en person ikke vil drive med dektektivarbeide for å dekke over andres latskap. 1 Lenke til kommentar
timeshift Skrevet 30. november 2017 Del Skrevet 30. november 2017 Sikkerhetsforsker måtte offentliggjøre sårbarhetsdetaljene da utviklerteamet ikke hadde oppgitt noen kontaktinformasjon. Exim har et offentlig bugsystem som han brukte for å ta kontakt med utviklerne. Det han ikke klarte å finne var en mulighet til å melde fra privat på. Ja. Helt enig i at de har et ansvar. Her har vi dog med et realt rasshøl å gjøre som ikke gidder å bruke 2 minutter før han publisere RCE på programvare som bruker på millioner av maskiner (uten at jeg vet helt hvor mange som er sårbare). Og som i etterkant kommer og påstår "ooh, jeg fant ikke noen måte å nå prosjektet". Maken til patetisk oppførsel. ... Digi har en litt tynn dekning av av forholdet så det er derfor lett å tenke den samme tanken, men han er neppe noe rasshøl eller patetisk. Sitert fra bugs.exim.org: meh 2017-11-26 08:19:43 GMT By the way, I want to apologize for accidentally making this bug public directly. I read SecurityReleaseProcess in wiki, googled and didn't find an email address to report. So I decided to report to this bugzilla and did not notice any option to set it private (and I thought maybe security issues are default to private). Anyway, I see the notification in report process now. Sorry for that. Phil Pennock 2017-11-26 22:10:16 GMT The notification is new, part of "lessons learned". You didn't miss it, I added it in reaction to this incident. We should have had something clearer up before. We didn't. Shit happens, we pick ourselves back up, learn from it, fix things and move on. Om han hadde spurt i mailinglisten så ville nok denne hendelsen ha vært unngått, men her hadde de ikke noen tydelige retningslinjer fra før og et bugsystem hvor det var lagt opp til at brukerfeil ville skje. Til varslerens forsvar så antok han altså at når rapportens alvorlighetsgrad var satt til sikkerhet så ville bugrapporten automatisk være privat. I etterkant er det blitt lagt til et notat hvor det nå er angitt at sikkerhetssensitive problemer skal meldes til [email protected]. Dette notatet vises når man logger seg inn i bugsystemet, både øverst før man velger et produkt og også over skjemaet for bugrapportering. 1 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå