воскресенье, 21 октября 2012 г.

HP попросила хакера не разглашать уязвимости - HP has persuaded the researcher not to disclose vulnerability


За пару дней до хакерской конференции Toorcon 14 компания HP связалась с независимым изыскателем и попросила его не рассказывать об найденных уязвимостях. С момента уведомления вендора о багах прошли общепризнанные 45 дней, так что исследователь мог раскрыть публике информацию, но компания HP не поспела за полтора месяца выпустить патч, и обратилась к хакеру с просьбой помолчать ещё немножко. «Вероятно, кто-то проснулся во вторник утром и внезапно осознал: “О боже мой, конференция Toorcon уже в эту субботу!”», - пишет Курт Грутцмахер (Kurt Grutzmacher) в своём блоге. Чай он отправил в US-CERT информацию об уязвимости ещё 6 августа, а правила US-CERT предусматривают типовой срок 45 дней, после чего автор имеет полное право опубликовать информацию и получить достойное уважение коллег.



     На конференции Toorcon в субботу 20 октября Грутцмахер планировал выступить с докладом “A CouNtry's Honorable n3twork deviCes” и рассказать об известной уязвимости с переполнением буфера в маршрутизаторах Huawei в использовании к устройствам H3C/HP, в том числе маршрутизаторам, коммутаторам, файрволам и точкам доступа. Он даже разработал модуль для Metasplot, дабы продемонстрировать эксплойт вживую перед аудиторией. Презентация обещала вызвать крупный резонанс, так как маршрутизаторы H3C/HP достаточно обширно применяются. Две недели назад представители HP связались с хакером и попросили дать им больше времени на исправление багов. Он добросовестно предупредил, что у них есть срок до Toorcon, после чего он собирается разгласить информацию, независимо от того, выпустят они патч либо нет. Впрочем, за несколько дней до конференции ему позвонили коллеги HP Software Security Response Team. Они очень извинялись, так как не успели поправить баги. Они сказали, что уязвимость оказалась слишком серьёзной для них. Они сказали, что это очень опасная вещь и попросили ещё раз отложить публикацию информации, и он согласился. Некоторые сотрудники осуждают Грутцмахера за его решение. Возможно, он получил денежное вознаграждение за безмолвие. Сам хакер не даёт комментариев по этому поводу и говорит, что рано либо поздно кто-нибудь другой всё равно опубликует данные об этой уязвимости. Скажем, по правилам той же ZDI, которая является подразделением HP, информацию об уязвимостях следует разглашать через 6 месяцев, без любых оговорок.



HP has persuaded the researcher not to disclose vulnerability



For couple of days before hacker conference Toorcon 14 company HP has contacted the independent researcher and has asked it not to tell about found out уязвимостях. From the moment of the notice вендора about bugs have passed the standard 45 days so the researcher could open to public the information, but company HP has not had time to let out a patch for one and a half month, and has addressed to the hacker with the request to keep silent a little more. «Probably, someone has woken up on Tuesday morning and has suddenly understood:“ About my God, conference Toorcon this Saturday! ”», — writes Kurt Gruttsmaher (Kurt Grutzmacher) in the blog. After all he has sent in US-CERT the information on vulnerability still on August, 6th, and rules US-CERT provide standard term of 45 days then the author has a just cause to publish the information and to receive the deserved respect of colleagues. At conference Toorcon on Saturday on October, 20th Gruttsmaher planned to act with the report “A CouNtry's Honorable n3twork deviCes” and to tell about known vulnerability with buffer overflow in routers Huawei in application to devices H3C/HP, including routers, switchboards, firewalls and access points. He even has developed the module for Metasplot to show эксплойт alive before audience. The presentation promised to cause the big resonance because routers H3C/HP are widely enough used. Two weeks ago representatives HP have contacted the hacker and have asked to give to them to more time for correction of bugs. He has fairly warned that they have a term to Toorcon then it is going to divulge the information irrespective of, they will let out a patch or not. However, some days before conference it was called by employees HP Software Security Response Team. They very much apologised, because had not time to correct bugs. They have told that vulnerability has appeared too serious for them. They have told that it is very dangerous thing and have asked to postpone once again the information publication, and he has agreed. Some colleagues condemn Gruttsmahera for its decision. Possibly, it has obtained monetary reward for silence. The hacker does not give comments about it and says that sooner or later somebody another all the same will publish data on this vulnerability. For example, by rules of the same ZDI which is division HP, the information about уязвимостях should be disclosed in 6 months, without any reservations.

1 комментарий: