ISC推迟发布补丁引起争议!
添加时间: 2005-5-21 3:35:34 作者: 网络收集 阅读次数:60 来源: http://www.d9soft.com
对最近广泛传播的一个软件安全漏洞的补丁的有争议的处理办法已经使某些系统管理人员担心,不能相信开发人员会把安全当成优先考虑的问题。
上星期,互联网软件联盟(ISC)推迟向大批研究人员提供有关DNS软件中安全漏洞的补丁,并且要求需要得到这个补丁的人给该联盟发一封申请补钉的电子邮件。这个有安全漏洞的软件名称是“伯克利Internet名字域”(BIND)软件,是执行网络地址簿之类的重要任务的。
互联网软件联盟给许多网络管理员发出了信息,敦促他们缴费加入由其管理的早期预警组织。这个补丁的推迟发布正好与这件事碰巧在同时发生。一些安全专家担心,与隐私和金钱相比,安全可能要被摆在次要的位置。
分析人士说,由于一些企业使用数字千年版权法(DMCA)威胁研究人员,因此,这个问题值得担忧。问题是软件行业对负责任的披露程序没有达成共识,整个行业和互联网都会受到伤害。
互联网软件联盟推迟发布补丁的错误做法提出了这样一个问题,是否应该依靠软件公司、安全研究人员和开源软件开发组织负责任地处理软件中发现的安全漏洞。而这些软件正是互联网的基础。
今年年初,惠普曾根据DMCA法威胁一位安全研究人员,要对其进行起诉。有些安全研究人员声称是为公众服务的。他们找到绕过软件安全措施的方法,然后再把这种风险公之于众。这个支持版权的法律是反对这些安全分析人士的。
上个星期,当安全研究人员宣布他们在关键的互联网软件中发现了安全漏洞的时候,网络管理员们赶紧去下载补丁。然而,这个软件的补丁却没有。
这个出现安全漏洞的软件的制作者、互联网软件联盟反而要求不是早期预警组织成员的网络管理员用电子邮件申请补丁。由于运行DNS软件的服务器执行的是网络地址簿的任务,数千家ISP和公司对得到这个补丁都非常感兴趣。
然而,互联网软件联盟并没有利用回复电子邮件提供补丁,而是利用这个机会让人们成为其付费的技术支持的成员。许多安全专业人士都抱怨他们没有得到安全补丁。直到11月20日晚上,互联网软件联盟才大发慈悲在其网站上公布了这个补丁。
互联网软件联盟执行理事Lynda McGinley表示,他们的做法是负责任的。意图是把信息发送给需要的人。她说,通过电子邮件鉴别潜在的收件人的计划没有解决问题。显然,这不是最好的处理方法。
上下文章:
上一篇文章: Windows和IE都存在严重安全漏洞! 下一篇文章: 欧盟关于网络监视之争加剧!
相关文章:
相关软件: