Нетоскоп / Новости / Red Hat случайно проболталась о дыре в Linux

		Нетоскоп/Новости/03.12.2001 http://www.netoscope.ru/news/2001/12/03/4240.html Red Hat случайно проболталась о дыре в Linux Вячеслав Ансимов 3.12.2001 12:50

В понедельник продавцы дистрибутивов операционной системы Linux распространили среди своих клиентов информацию о дыре, обнаруженной в самой распространенной программе FTP-сервера WU-FTPd. Степень угрозы оценена специалистами как высокая. Дыра позволяет злоумышленникам получать доступ к управлению сервером, - сообщает Security Focus.

Обнаружена она была в середине ноября аргентинской исследовательской группой Core Security Technologies, которая информировала об этом производителей Linux и open-source-ресурсы, поддерживающие и распространяющие WU-FTPd. Правительственная информационная служба компьютерной безопасности CERT предприняла попытку скоординировать одновременный выпуск производителями программного обеспечения патчей для обнаруженной дыры. Этот выпуск был запланирован на 3 декабря. Раньше этого срока продавцам и производителям не рекомендовалось оповещать общественность о баге.

Однако производитель самой распространенной версии (дистрибутива) Linux Red Hat на прошлой неделе во вторник не выдержал. Red Hat изготовил свой патч и опубликовал предупреждение. Остальные производители, не успевшие изготовить заплатку, оказались в большей уязвимости и вынуждены были доделывать патч в срочном порядке. Национальный центр защиты инфраструктуры ФБР NIPC на следующий день выпустил специальное предупреждение об опасности хакерских проникновений через обнаруженную дыру.

Производители крайне отрицательно отнеслись к поступку Red Hat. Представители Linux-сообщества, особенно специалисты по безопасности, также в массе своей не одобрили преждевременное разглашение информации о дыре.

Red Hat ночью того же дня принесла публичные извинения перед прочими производителями и продавцами. Произошедшее компания называет ошибкой. Патч был готов и ждал назначенного времени (3 декабря). Однако веб-адмистратор случайно включил его в материалы для публикации вместе с другими обновлениями.

В большинстве своем linux-сообщество нормально относится к координации выхода патчей. Аналогичные устремления Microsoft, наоборот, вызывают крайнее раздражение пользователей и специалистов по безопасности.