Как стать автором
Поиск
Написать публикацию
Обновить

Критическая уязвимость механизма аутентификации BIND позволяет похищать и изменять DNS-записи серверов

Время на прочтение3 мин
Количество просмотров13K
Блог компании Positive TechnologiesИнформационная безопасность*
Всего голосов 26: ↑26 и ↓0+26
Комментарии7

Комментарии 7

Вы знаете что с этой уязвимостью надо делать.
Всего голосов 3: ↑0 и ↓3-3
А если TSIG не используется, можно выдохнуть?
Всего голосов 1: ↑1 и ↓0+1
НЛО прилетело и опубликовало эту надпись здесь
Это холиварная тема, и постоянно всплывает.

Одни утверждают, что надо сначала тихо исправить, а потом об этом сообщать, чтобы не пострадали другие(чтобы всякие скрипт-кидди не начали щас ломать всякую мелочь), вторые считают правильным всех предупредить, чтобы не пострадали другие(чтобы крупные компании знали о такой 0day, и не подвергались крупному риску).

И с той, и с другой стороны есть свои логичные аргументы, и всё зависит от целевой аудитории используемой уязвимости(программы).
Всего голосов 2: ↑0 и ↓2-2

Обычно вопрос в том, публиковать или нет (а если публиковать, то через какой срок) если компания-разработчик не торопится исправлять уязвимость. Вопроса "а стоит ли уведомить разработчика до публикации" обычно и не стоит — нормальные "белые шляпы" это делают.

Всего голосов 1: ↑1 и ↓0+1
Не ругайтесь, уже всё запатчили четыре дня назад https://www.debian.org/security/2017/dsa-3904
Комментарий пока не оценивали0
Это просто красиво.
Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr