Sybase dreigt ontdekkers lek met aanklacht

Wachten op patch niet goed genoeg

29 maart 2005 | Remco Mourits Het beveiligingsbedrijf Next Generation Security Software (NGSS) ontdekte vorig jaar een lek in Adapter Server Enterprise (ASE) versie 12.5.3 van Sybase. Sybase kwam met een patch. Als beloning dreigt het nu de ontdekker van het lek aan te klagen.

Een hacker zou het lek hebben kunnen gebruiken voor het uitvoeren van een Denial of Service (DoS)-aanval. NGSS stelde Sybase op de hoogte en hield de details over het lek verder geheim voor de buitenwereld, zodat Sybase de tijd had met een oplossing te komen.

Dit is de gangbare - en door softwarefabrikanten gewenste - gang van zaken omtrent beveiligingslekken. NGSS gaat nog een stap verder dan de meeste andere bugjagers, door nadat een patch is uitgebracht nog eens drie maanden te wachten voordat het details bekend maakt over het lek. Zo hebben gebruikers ruim de tijd om de patch te installeren.

Volgens dit beleid zou NGSS details over de lekken in Sybase's ASE vrijgeven op 21 maart. De ochtend van die dag ontving het bedrijf echter een brief van een legertje juristen van Sybase, waarin werd gevraagd de technische details voor onbepaalde tijd geheim te houden. Anders zal het bedrijf worden aangeklaagd.

NGSS heeft besloten de technische details niet vrij te geven totdat de situatie is opgelost. Wel heeft het bedrijf nu het onverwachte dreigement van Sybase openbaar gemaakt, zodat de klanten weten waarom NGSS niet met de informatie naar buiten komt.

"NGSS is van mening dat het niet het belang van Sybase-klanten is om de details geheim te houden", zo laat het bedrijf verder nog weten. Lees meer artikels over : lek, patch, sybase, beveiliging

bron: ZDNet