ڈیلینا کے سیکرٹ سرور SOAP API میں ایک اہم خامی کا انکشاف اس ہفتے ہوا جس نے حفاظتی ٹیموں کو پیچ تیار کرنے کے لئے دوڑ لگا دی۔ لیکن ایک محقق کا دعویٰ ہے کہ اس نے چند ہفتے قبل مراعات یافتہ رسائی کے انتظامی فراہم کنندہ سے رابطہ کیا تھا تاکہ انہیں بگ سے آگاہ کیا جاسکے، صرف یہ بتایا جائے کہ وہ کیس کھولنے کے اہل نہیں ہیں۔
پہلے ڈیلینا۔ SOAP اینڈ پوائنٹ کی خامی کا انکشاف کیا۔ 12 اپریل کو۔ اگلے دن تک، ڈیلینا ٹیموں نے کلاؤڈ کی تعیناتیوں کے لیے ایک خودکار فکس اور آن پریمیسس سیکرٹ سرورز کے لیے ڈاؤن لوڈ کا آغاز کر دیا تھا۔ لیکن ڈیلینا الارم اٹھانے والی پہلی نہیں تھی۔
کمزوری، جس کا ابھی تک کوئی تفویض کردہ CVE نہیں ہے، سب سے پہلے عوامی طور پر محقق جانی یو نے ظاہر کیا، جس نے اس کا تفصیلی تجزیہ فراہم کیا۔ ڈیلینیا سیکریٹ سرور مسئلہ، انہوں نے مزید کہا کہ وہ 12 فروری سے وینڈر سے رابطہ کرنے کی کوشش کر رہے تھے تاکہ اس خامی کو ذمہ داری سے ظاہر کیا جا سکے۔ کارنیگی میلن یونیورسٹی میں سی ای آر ٹی کوآرڈینیشن سینٹر کے ساتھ کام کرنے اور ڈیلینا کی طرف سے ہفتوں تک کوئی جواب نہ ملنے کے بعد، یو نے 10 فروری کو اپنے نتائج جاری کرنے کا فیصلہ کیا۔
"میں نے ڈیلینا کو ایک ای میل بھیجا، اور ان کے جواب میں کہا گیا کہ میں کیس کھولنے کے لیے نااہل ہوں کیونکہ میں ادائیگی کرنے والے کسٹمر/تنظیم سے وابستہ نہیں ہوں،" یو نے لکھا۔
ڈیلینا سے رابطہ کرنے کی کئی ناکام کوششوں اور CERT کی طرف سے دیے گئے انکشاف میں توسیع کے بعد، یو نے اپنی تحقیق شائع کی۔
Delinea نے تخفیف کی حیثیت کے بارے میں ایک ای میل بیان فراہم کیا، لیکن انکشاف اور جواب کی ٹائم لائن کے بارے میں سوالات کا جواب نہیں دیا۔
اس مسئلے پر رسائی فروش کی خاموشی اس بارے میں کھلے سوالات چھوڑ دیتی ہے کہ کون کمپنی کو کیڑے جمع کرا سکتا ہے، وہ کن حالات میں جمع کروا سکتا ہے، اور کیا مستقبل میں ڈیلینا کے انکشافات کا انتظام کرنے کے طریقہ کار میں کوئی تبدیلیاں کی جائیں گی۔
Vuln Volume Struggles Delinea کے لیے منفرد نہیں ہے۔
کریٹیکل سٹارٹ میں خطرے کی تحقیق کے سینئر مینیجر کالی گوینتھر کے مطابق، ڈیلینا کے پیچ کرنے کے عمل کے ساتھ ردعمل کے اشارے "مسائل" کے بارے میں مواصلات کی کمی۔ لیکن، وہ بتاتی ہیں، کمزوری کے انتظام کا کرشنگ وزن پورے بورڈ پر اثر انداز ہو رہا ہے۔
حال ہی میں، نیشنل انسٹی ٹیوٹ آف سائنس اینڈ ٹیکنالوجی (این آئی ایس ٹی) نے کہا کہ یہ مزید نہیں ہو سکتا کیڑے کی تعداد کے ساتھ رکھیں قومی خطرے کے ڈیٹا بیس کو جمع کرایا اور حکومت کے ساتھ ساتھ نجی شعبے سے مدد کرنے کو کہا۔
یہ ڈیلینا کے لیے منفرد نہیں ہے۔ ٹیک کمپنیوں کو پیچ کی مکمل جانچ کی ضرورت کے ساتھ تیز رفتار ردعمل کو متوازن کرنے میں اکثر چیلنجوں کا سامنا کرنا پڑتا ہے،" گوینتھر ڈارک ریڈنگ کو بتاتے ہیں۔ "یہ صورت حال ایک بڑے رجحان کی عکاسی کرتی ہے جہاں کمزوریوں کی پیچیدگی اور حجم سیکورٹی پروٹوکول کو چیلنج کر سکتا ہے۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/delinea-fixes-secret-server-flaw-says-no-data-accessed
