登陆与注册×
两周内自动登陆 忘记密码?


注册

m.anhzx.com 上周,互联网软件联盟(Internet Software Consortium)拒绝了大量研究人员对域名系统(DNS)软件存在严重缺陷的补丁,而是要求每个人向组织发送电子邮件请求以获得修复。该软件称为Berkeley Internet名称域(BIND)程序,它执行关键功能作为网络的地址簿。 延迟,加上发送给几个管理员的消息,敦促他们付钱成为国际学习中心运行的预警小组的一部分,一些安全专家担心安全性正在落后于保密和金钱。 安全咨询公司Neohapsis的首席技术官格雷格·希普利说:“这是一个令人担忧的问题,特别是一些公司使用”数字千年版权法案“来威胁研究人员。 “底线是行业无法就一个负责任的披露流程达成一致,而社会和互联网也受到了影响。” 在过去的两年里,网络安全特别总统顾问理查德克拉克已经阐述了软件公司和开发人员需要了解该国的国家安全可能依赖于负责任的软件漏洞及其修复程序的处理方式。 国际学习中心的最新事件是质疑软件公司,安全研究人员和开源开发团队是否可以依赖负责任地处理构成互联网基础的软件中的漏洞的最新事件。 今年早些时候,惠普公司威胁一名研究员在DMCA下提*讼。支持版权的法律被用于反对安全分析师,他们声称当他们发现绕过安全措施的方法然后将风险告知时,他们正在执行公共服务。上个月,未知的攻击者在一组关键的DNS服务器(称为根服务器)上发布了大量数据,引发了全面的互联网崩溃的幽灵。 这些事件清楚地表明,关键组件依赖于计算机专家和具有广泛不同议程的代码索引者的判断。在BIND中为bug提供补丁的延迟突出了这个问题。 评价还是招揽? 当安全研究人员宣布他们上周在关键互联网软件中发现了新的缺陷时,网络管理员急于下载这些补丁。但是,该软件的修复程序不可用。 相反,ISC--互联网上最受欢迎的域名系统(DNS)软件的制造商 - 要求不属于该组织www.sempereadem.org预警组的人员通过电子邮件向ISC发送补丁。由于运行DNS软件的服务器充当了网络的地址簿,因此成千上万的互联网服务提供商和公司对获得软件修复感兴趣。 然而,ISC利用这个机会向成员寻求其付费支持服务,而不是回复发送补丁的电子邮件请求,该漏洞评估公司eEye Digital Security的首席黑客官员Marc Maiffret表示。 “他们基本上回答说,他们不会在周末之前提供服务,然后他们说他们有预警服务,你必须为此付钱,”Maiffret说。 Maiffret最终不得不求助于他的朋友网络获得补丁的副本。其他安全专业人士抱怨说,他们无法获得补丁的副本,直到ISC放松并在周三晚上将其发布到其网站上。 国际学习中心的执行主任Lynda McGinley表示,该组织试图采取负责任的行动。 “我们的目的是将信息传递给合适的人,”麦金利说。但她表示,通过电子邮件评估潜在收件人的计划并没有成功。 “这不是最好的方法。这非常明显,”麦金利说。 阶级斗争 有几个人质疑该集团在这次最新调整中的动机。 2001年2月,国际科学委员会宣布它将创建一个名为BIND论坛的新组织,其成员将收到一些问题的预先通知。当时,该财团驳斥了该论坛意味着BIND用户被分为一等和二等公民的担忧。 “这个组织的信息没有特殊的特权级别,”国际学习中心主席保罗·维克西当时说道。 “团队学到的任何东西都将被所有成员完全学会。” 愤怒的网络管理员和安全专家对这一概念提出质疑。 “他们故意隐瞒这些补丁,”精品互联网服务提供商总裁迈克尔布伦宁说。 “没有其他解释。他们知道自己在做什么。” 为他的ISP及其客户运行少量BIND服务器的Brennen表示,他在周二向她发送电子邮件后不久收到了McGinley的回复信息。消息说他在列表中获得补丁但没有提供其他信息。当他要求提供更多信息时,她回答说m.hqb999.com