Vilma
-7 °C
4 °C

Biztonsági rés a wu-FTP szervereken

2001.12.12. 16:19
A wu-FTP az egyik legelterjedtebb FTP-program Linux alatt. A legtöbb disztribúció magában foglalja ezt a szoftvert (Red Hat, SuSE, Caldera International, Turbolinux, a MandrakeSoft stb.).
A magát Core Secure Technologies-nak nevező csoport november közepén hívta fel először a figyelmet a problémára. Bár a legtöbb, Linuxot fejlesztő cég tudott a biztonsági résről, mégsem cselekedett időben. A fejlesztő cégek közül a RedHat volt az, aki nem csak biztonsági rést, de üzleti lehetőséget is láthatott a hibában, ugyanis saját javítása elkészülte után nemsokára nyilvánosságra is hozta a termékben megbúvó veszély tényét.

A biztonsági rést egy szoftverhiba okozza. Az említett probléma a program összes verziójában megtalálható. A hibát a támadók képesek arra használni, hogy távolról elérjék a szerveren levő összes állományt. Mivel a legtöbb szerverre lehetőség van anonymous felhasználóként felcsatlakozni, így rengeteg gép ki van téve az efféle támadásoknak.

A Red Hat túl korán közölt nyilatkozata igen nehéz helyzetbe hozta a más Linux-ot használó rendszergazdákat, hiszen gépeik a javítások megérkezéséig fokozottan ki vannak téve az esetleges támadásoknak.

Maguk a gyártók is hátrányos helyzetbe kerültek a hír közlése után, bár a javítással már a legtöbben el is készültek. A Mandrake 8.0-ás verziójú Linuxában például már ProFTP néven új FTP programot találhatunk.

Úgy tűnik, hogy sajnos ez esetben is előtérbe kerültek az üzleti érdekek a biztonságiakkal szemben. Az informatikai kockázatok közé nyugodtan felvehetjük az egyes gyártók közötti üzleti versenyt is.

Nyílt titok, hogy a vezető szoftvergyártók rendelkeznek belső információkkal a termékeikben, illetve az általuk támogatott operációs rendszerekben, szoftverkomponensekben megbúvó hibákról. Ezek egy részét a javítócsomagok megjelenése után nyilvánosságra is hozzák. Más részükről azonban nem szólnak, és a javítások fű alatt az újabb telepítő CD-ken (lásd.: belső verziószám, dátum, méret, stb.) jelennek meg, vagy meg sem jelennek.

Ha ezek a rejtett információk mind az üzleti harc részévé válnának, talán nem is beszélhetnénk informatikai biztonságról_