Премия за нахождение уязвимостей в популярном серверном ПО

20.05.2007 22:21

Компания Verisign учредила премию в размере 16 тысяч долларов за обнародование каждой, ранее неизвестной, уязвимости в одном из 6 приложений:

Apache httpd
Berkeley Internet Name Domain (BIND)
Sendmail
OpenSSH sshd
Microsoft Internet Information (IIS) Server
Microsoft Exchange Server

Главное условие - уязвимость должна приводить к возможности удаленного запуска кода в конфигурации приложений по умолчанию. Эксплоит должен работать для последнего релиза ПО с официальными обновлениями, проблемы тестовых версий не рассматриваются.

исправить +/–

Главная ссылка к новости (http://it.slashdot.org/article...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/10845-security

Ключевые слова: security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, пупсег (?), 22:52, 20/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
щедрость большого брата не знает границ

1.4, Ne01eX (??), 07:11, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>Verisign Это кто такие?

2.5, betatester (?), 07:28, 21/05/2007 [^] [^^] [^^^] [ответить]	+/–
http://www.verisign.com/

1.6, www.andr.ru (?), 11:23, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ну щас милкософт хацкеры порвут на кусочки, как тузик грелку.

2.7, Квагга (?), 13:58, 21/05/2007 [^] [^^] [^^^] [ответить]	+/–
> милкософт хацкеры порвут зиродей експлойт можно продать сильно дороже :) Как и вчера и поза-позавчера :)

1.8, Morph (??), 18:55, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Заметьте...раньше в списка популярного ПО. MS IIS и MS Exchange не было...фиговая тенденция.

1.9, Аноним (-), 19:26, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
IIS6 не имел удалённых уязвимостей вообще. МС молодцы.

1.10, Myc (??), 23:44, 21/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Б Шнаер в одной своей книге писал, что подобные соревнования это показуха. Т.к. для специалистов это не деньги, а хакерская шпана не сможет обнаружить ничего серьезного.

2.11, belkin (?), 10:07, 22/05/2007 [^] [^^] [^^^] [ответить]	+/–
>Б Шнаер в одной своей книге писал, что подобные соревнования это показуха. > >Т.к. для специалистов это не деньги, а хакерская шпана не сможет обнаружить >ничего серьезного. Эта затея является ерундой ещё по одной причине. Просто тыкать снаружи чёрный ящик недостаточно. Такие испытания нужно проводить в качестве дополнения к анализу внутреннего устройства (алгоритмы, код). Иначе результат не показывает потенциально опасные бреши, а угроза безопасности - категория потенциальных событий а не свершившихся.

1.12, fantome (?), 13:37, 22/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ну мелкого куснуть можно.. тока ради этого придется купить эти продукты, чтоб последние обновления скачать... а реальный эксплойт можно гораздо дороже продать... VeriSign эту затею для лохов организовала...

1.13, Ne01eX (??), 11:20, 28/05/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>VeriSign эту затею для лохов организовала... Может они 0day-спойты перепродают...

1.14, alice (?), 16:37, 30/05/2007 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>>Может они 0day-спойты перепродают...

не знаю, как там было в оригинале (лень читать), но в русскоязычной версии написано _за _обнародование :) вопрос только, чо сначала - премия или обнародование...

>>Т.к. для специалистов это не деньги, а хакерская шпана не сможет обнаружить ничего серьезного.

специалисты - это такие старые хрычи с парой-тройкой высших образований?
на самом-то деле самая активная часть населения, ищущего дыры - это молодежь, зачастую школьного возраста. а для школьников (даже забугорных) 16 штук - неплохие бапки, хватит на пристойную машину (такой маленький прыщавый хакер, а уже с машиной!) или на что-то крутое айтишное. так что - почему бы нет?..

игнорирование участников | лог модерирования

Добавить комментарий

Текст: