Publicarán vulnerabilidades de webservers y bases de datos Publicarán vulnerabilidades de webservers y bases de datos

Si no te hackean con esto, es para reclamar

Publicarán vulnerabilidades de webservers y bases de datos

por

Si no te hackean con esto, es para reclamar

El fundador de la empresa de seguridad rusa Intevydis, Evgeny Legerov, declaró que desde hoy al primero de febrero irá publicando información sobre vulnerabilidades 0-day que afectan a diversas bases de datos y webservers.

Algunos son gratuitos y otros pagados. Algunos son populares y a otros los conoce Santa Isabel, pero todos ellos tienen en común que Legerov intentó contactar a los desarrolladores o responsables con la actitud “divulgación responsable” y no consiguió nada:

“Después de trabajar con los fabricantes y vendedores por largo tiempo, hemos llegado a la conclusión que, en palabras simples, es una pérdida de tiempo. Ahora no nos contactamos con los vendedores ni adherimos a la divulgación responsable. Por ejemplo, vamos a publicar una vulnerabilidad de RealPlayer  que les comunicamos hace dos años y no han hecho nada por remediarla.”

En otras palabras, acá la política es: “ya que no hicieron nada, ahora los expondré”.

Entre los softwares que se verán comprometidos están:

  • Zeus Web Server
  • Sun Web Server
  • MySQL
  • IBM DB2
  • Lotud Domino
  • Informix
  • Novell eDirectory
  • Sun Directory
  • Tivoli Directory

Yo tengo mis reparos respecto a la “divulgación responsable”. La otra vez nos contactó una persona diciendo que conocía una falla en Vbulletin y que por USD 20 nos diría cómo parcharla, que había hablado con Jellsoft y ellos no lo habían tomado en cuenta. Yo no dudo que eso pueda ser cierto, pero si la divulgación responsable es pedir plata por ayudar a parchar una vulnerabilidad, a mí más bien me huele a chantaje.

Link: Firm to Release Database & Web Server 0days (Krebs on Security)