Сигурност

Разкриха 20-годишна уязвимост в платформа за споделяне с отворен код

Иван Гайдаров

20-годишна уязвимост в PuTTY, приложение за трансфер на файлове с отворен код, е открито и фиксирано по време на мащабно събитие за "бели хакери", проведено от платформата HackerOne от името на Европейския съюз за одит на свободен и отворен софтуер (EU- Fossa).

Уязвимостта потенциално би могла да позволи на злонамерени играчи да "сринат;: програмата и да я използват за постигане на отдалечено изпълнение на код. За първи път пропускът е забелязан на 27 юни 2019 г. , а е оповестен публично на 20 септември.

Мениджърът на техническата програма на HackerOne Шломи Либероу коментира, че не е изненадан от факта, че уязвимостта не е била открита в продължение на две десетилетия.

"Инструменти като PuTTY са сложни и винаги съдържат функционалности, които се използват рядко и следователно може да съдържат някои трудни за откриване уязвимости", казва той.

Уязвимостта в платформата PuTTY е само една от общо 133-те, разкрити по време на програмата EU-Fossa, която изплаща общо 89,665 евро награди за изследователите, включили се в нея.

Създадена след кризата, породена от разкриването на уязвимости на Heartbleed OpenSSL през 2014 г., EU- Fossa съществува, за да гарантира сигурността на огромното европейско софтуерно наследство с отворен код - отдавна подкрепяно от Европейската комисия (ЕК) като проява на нейните цели, свързани с прозрачността и егалитаризма.

Освен PuTTY, EU- Fossa управлява още платформите Drupal, KeePass, FileZille, Apache Kafka, Notepad ++, VLC Media Player и MidPoint.

Наличието на подобна грешка, останала скрита с десетилетия, показва, че вероятно в много основни елементи на глобалната интернет инфраструктура присъстват подобни слабости. Затова от организацията са категорични, че поемат отговорност да гарантират надеждността на софтуера с отворен код.

"По този начин ние не само защитаваме себе си, но добавяме стойност за общността на отворения код и за широката общественост, която все повече използва подобни програми на своите устройства", добавят от EU- Fossa.

Организацията проведе успешна пилотна програма с награди за откриване на бъгове, съвместно с HackerOne, през 2018 г., но в течение на проекта стана ясно, че обхватът му трябва да бъде разширен. "В момента се разглеждат различни варианти за продължаване на проекта. Освен това споделяме опита си, за да насърчим и други обществени организации в Европа да тръгнат по нашия път", категорични са от EU-Fossa.




© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X