欧盟补丁20岁的开源漏洞

2022-06-05 11:46:20来源:

腻子中的一个20岁的漏洞,一个开源网络文件传输应用程序,已经跟踪和修补了由Hackerone代表欧盟免费和开源软件审计(eu-窝)。

漏洞可能允许恶意演员崩溃程序并使用它来实现远程代码执行。它是第一次于2019年6月27日发现并于9月20日公开披露,净化人为3,250欧元(2,782英镑)奖金。

Hackerone技术方案经理Shlomie LiboIn表示,这并不一定是脆弱性未被发现的令人惊讶的意外。

“像Putty这样的工具很复杂,它包含一些并不总是使用的功能,因此揭开一些安全问题可能更难,”他说。

“最终,不太令人惊讶的是,安全缺陷的安全缺陷存在,但 - 更具现象 - 是,正确的关注水平以这种彻底的方式审计了一个常用的工具,因此许多虫子会被淘汰。”

Putty缺陷只是欧盟 - 罗萨犯规计划中未发现的133人之一,该计划总共支付了87,990欧元(75,330英镑)的研究人员。

在2014年披露智慧Openssl漏洞的危机之后,欧盟福萨的危机是为了保护欧洲广阔的开源软件遗产 - 欧洲委员会(EC)长期倡导,作为其透明度和平等主义的目标的表现。

除了Putty,欧盟还经营Drupal,KeepAs,Filezille,Apache Kafka,Notepad ++,VLC媒体播放器和中点。

“委员会的信息学局长在2000年开始,在创建了委员会的第一个版本的开源软件策略时,委员会的IT堆栈一直在其IT堆栈中引入自由和开源软件。”欧盟福萨发言人解释说。

“使用自由和开源软件的使用增加,在几个领域的战略中变得战略 - Linux在委员会数据中心的80%的服务器中使用,欧罗巴网站正在运行在Drupal上,名称为一些。”

随着Stucebleed Bug有效展示全球互联网基础设施的许多中心要素可能存在漏洞,欧盟表示明确责任,以确保其开源软件恏的可靠性。

“这样,我们不仅保护自己,而且为开源社区和普通公众增加了价值,他们越来越多地在其设备上使用开源软件,”他们说。

eu-fossa在2018年沿着Hackerone举行了一份成功的飞行员Bug Bounty计划,之后它可以清除欧盟 - 罗萨团队以及几个感兴趣的MEP,即最初的飞行员的范围应该扩大。

发言人表示,迄今为止迄今为止的成功,可能会进一步扩大:“目前正在考虑该项目的延续,我们正在查看不同的选择。我们还在分享我们的经验,鼓励欧洲的其他项目和公共组织跟随我们的道路。“

对于Hackerone,使用开源产品,额外的复杂性建立了黑客和开源社区之间的新关系 - 尽管其长寿及其能力,但开源运动仍然是一个很大程度上的志愿者努力,很少被争夺“光滑,资源丰富的企业组织”,通常有效。

“有机会审计数百万使用的工具,”有些东西令人兴奋,“利润说。

“沟通和协作是安全发现的重要因素。对于一些安全研究人员来说,它是与志愿者团队合作的新经验,并将修补程序制定,以解决他们找到的错误,在使用专有软件时更加困难。“


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章