Security Lab

Nowell всех напугал

Дата публикации:15.08.2001
Дата изменения:17.10.2006
Всего просмотров:1612
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Обнаружена чрезвычайно серьезная проблема защиты GroupWise, которая требует немедленного установления заплаты, но проблема, похоже, настолько серьезная, что Novell даже не может сообщить своим пользователям, в чем уязвимость заключается.

Компьютерная корпорация, расположенная в штате Юта, разослала электронную почту всем своим пользователям, имеющим GroupWise 5.5 Enhancement Pack или GroupWise 6, с просьбой установить "Padlock Fix" на их серверы немедленно, но при этом не сообщила никому, зачем это необходимо, аргументируя это тем, чтобы хакеры не смогли воспользоваться уязвимостью на неисправленных системах.

Ричард Блисс, менеджер продаж Novell GroupWise, заявил, что это вполне естественно, что пользователь должен доверять продавцу программного обеспечения в вопросе безопасности использования защитной заплаты в пределах их среды. Он предупреждает пользователей о существовании незаявленного риска и требует от них "самым убедительным языком" применить заплату, не вдаваясь в подробности, что послужило поводом для ее создания.

Блисс сказал, что заплата исправляет проблему с Novell GroupWise программным обеспечением, существовавшую более двух лет, но остававшуюся незаметной и, насколько ему известно, ни разу не использованной хакерами. На серверы с установленными Novell GroupWise 4.x, 5.0, 5.2 и 5.5 и на их клиентов данная проблема не воздействует.

Блисс признавал, что “фирма стояла перед дилеммой относительно того, полностью ли сообщить пользователям о проблеме защиты, как это обычно и делалось на практике Novell в прошлом, но в данном случае риск был оценен, как слишком большой. Проблема защиты настолько серьезна, что потребовался бы целый развернутый список пунктов”.

Он подтвердил, что “корреспонденты разместят, конечно, самую плохую возможную интерпретацию этого события, но Novell готова к такому нажиму на свою репутацию, если это защитит безопасность ее клиентов".

Так что дефект, похоже, должен быть действительно страшным.

Заплата для данной проблемы, как и для других, менее критичных, расположена на сайте Novell.