Delinea Fixes Flaw After Analyst Goes Public With Disclosure First

פגם קריטי ב-Soap API של שרת הסודי של Delinea שנחשף השבוע שלח צוותי אבטחה במירוץ להפעיל תיקון. אבל חוקר טוען שהוא פנה לספק ניהול הגישה המיוחסת לפני שבועות כדי להתריע בפניהם על הבאג, רק כדי שנאמר לו שהוא לא כשיר לפתוח תיק.

דליינה ראשונה חשף את הפגם בנקודת הקצה SOAP ב-12 באפריל. עד למחרת, צוותי Delinea הפיצו תיקון אוטומטי לפריסות ענן והורדה עבור שרתים סודיים מקומיים. אבל דליינה לא הייתה הראשונה שהזעיקה את האזעקה.

הפגיעות, שעדיין אין לה CVE מוקצה, נחשפה לראשונה בפומבי על ידי החוקר ג'וני יו, שסיפק ניתוח מפורט של Delinea Secret Server בעיה, והוסיף כי הוא ניסה ליצור קשר עם הספק מאז 12 בפברואר כדי לחשוף באחריות את הפגם. לאחר שעבד עם מרכז התיאום CERT באוניברסיטת קרנגי מלון ושבועות ללא תגובה מצד דלינה, יו החליט לפרסם את ממצאיו ב-10 בפברואר.

"שלחתי אימייל ל-Delinea, ובתגובה שלהם נכתב שאני לא כשיר לפתוח תיק מכיוון שאני לא קשור ללקוח/ארגון משלם", כתב יו.

לאחר ציר זמן המראה כמה ניסיונות כושלים ליצור קשר עם Delinea והארכה לחשיפה שניתנה על ידי CERT, יו פרסם את המחקר שלו.

Delinea סיפקה הודעה בדוא"ל לגבי מצב ההפחתה, אך לא הגיבה לשאלות לגבי ציר הזמן של החשיפה והתגובה.

שתיקתו של ספק הגישה בנושא משאירה שאלות פתוחות לגבי מי יכול להגיש באגים לחברה, באילו נסיבות הם מסוגלים להגיש, והאם יהיו שינויים כלשהם בתהליך שיבוצעו באופן שבו Delinea מנהלת גילויים בעתיד.

מאבקי נפח וולנים אינם ייחודיים ל-Delinea

חוסר התקשורת לגבי התגובה מסמן "בעיות" בתהליכי התיקון של דלינה, לדברי קאלי גינטר, מנהלת בכירה לחקר איומים ב-Critical Start. אבל, היא מסבירה, המשקל המוחץ של ניהול נקודות תורפה עושה את שלו בכל רחבי הלוח.

לאחרונה, המכון הלאומי למדע וטכנולוגיה (NIST) אמר שהוא לא יכול יותר להתעדכן במספר הבאגים הגישו למאגר הפגיעות הלאומי וביקשו מהממשלה, כמו גם מהמגזר הפרטי, לסייע.

"זה לא ייחודי לדליינה; חברות טכנולוגיה מתמודדות לעתים קרובות עם אתגרים באיזון תגובה מהירה עם הצורך בבדיקה יסודית של תיקונים", מסביר גינת'ר ל-Dark Reading. "מצב זה משקף מגמה גדולה יותר שבה המורכבות ונפח הפגיעות יכולים לערער על פרוטוקולי אבטחה."

הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
מקור: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed

מודיעין נתונים של אפלטון.
חיפוש אנכי ו-Ai.

Delinea מתקן את הפגם לאחר שהאנליסט פרסם את החשיפה הראשונה

מאבקי נפח וולנים אינם ייחודיים ל-Delinea

מנהיגי העולם קוראים לאסור על 'רובוטים רוצחים', כלי נשק בינה מלאכותית

ארגז חול חדש של SEC יכול להציע הקלה רגולטורית עבור חברות קריפטו - עורך דין פינטק | BitPinas

המודיעין האחרון

IFC משקיעה 150 מיליון דולר כדי לתמוך בחברות MSME אינדונזיות, להרחיב את הגישה הדיגיטלית בתאילנד - פינטק סינגפור

Ravi Kaushik יוביל את תיק הפינטק של Flourish Ventures בהודו ובסיה אסיה - פינטק סינגפור

מחנק הרווח של ביטקוין: מחירי האש מגיע לשיא נמוך לאחר חצייה - מה הלאה עבור הכורים?

CITIC Telecom CPC קוטפת פרסי שותפים מרובים של מערכות אקולוגיות מחזקת יכולות שיתופיות, מעודדת חדשנות פורצת דרך ומשתפת תוצאות של פיתוח בר קיימא

Rockbird media מציגה את פסגת הקמעונאות והמסחר האלקטרוני באסיה 2024

MicroStrategy ממשיכה לערום ביטקוין עם רכישה של 1.65 מיליארד דולר במהלך הרבעון הראשון

דבר איתנו

מודיעין נתונים של אפלטון.חיפוש אנכי ו-Ai.

Delinea מתקן את הפגם לאחר שהאנליסט פרסם את החשיפה הראשונה

מאבקי נפח וולנים אינם ייחודיים ל-Delinea

המודיעין האחרון

דבר איתנו

מודיעין נתונים של אפלטון.
חיפוש אנכי ו-Ai.