编者按：去年年底小编就OpenDaylight漏洞问题发布了一篇文章--《OpenDaylight安全漏洞无人问津》，阐述了漏洞事件的始末。近期，关于OpenDaylight安全问题又有了后续动态。

Linux基金会于2013年4月份为创建一个开源的软件定义网络(SDN)平台而启动了OpenDaylight协作项目。随后，该项目获得众多业界厂商的关注和支持，如今正在高速发展壮大。然而去年OpenDaylight对于一个安全漏洞的“不重视”，却引起了不少人的担忧。

时间回到2014年8月，研究者发现了OpenDaylight的安全漏洞，并命名为“Netdump”。借助“Netdump”，远程攻击者可以通过网络配置服务访问OpenDaylight控制器系统上的任何文件。其中易受攻击的文件包括哈希网络认证文件，攻击者甚至只需借助普通的攻击工具即可获得认证，从而控制整个网络。

虽然该漏洞存在较大安全威胁，但OpenDaylight对此却没有做出积极响应，甚至还在漏洞公布之后，推出了包含该漏洞的Helium版本。直到去年12月，该漏洞才被修复，因为相关人员认为OpenDaylight仍处于早期阶段，尚未在实际环境中大范围使用，因此安全响应速度较慢。

但安全专家（IIX公司的产品安全工程师）并且是OpenDaylight社区的成员之一的David Jorm却不这么认为，他表示：“因为事实是一个严重的漏洞被忽略了4个多月，很显然，我们在某方面出了问题；而该漏洞一旦被攻击者利用，将会给整个SDN带来毁灭性的打击。”

Jorm还指出，供应商需要及时获悉最新的安全信息，而不是通过私下交楼获知这些漏洞，这样会严重影响相关补丁的推出速度。

还好，自该事件之后，已经有越来越多的OpenDaylight成员开始用行动支持Jorm，OpenDaylight的技术指导委员会最近还批准了一项详细的安全响应过程指导书。“在ODL社区中我们很认真的对待安全问题”，该技术指导委员会主席说道，“我们正致力于更好地建立并宣传我们的安全响应过程，这样任何人都可以报告问题，并且确保我们能在第一时间做出反应。”

如今，Jorm对于OpenDaylight的安全响应已经给出了很高的评价，我们欣喜的看到OpenDaylight更加重视安全了。

 
转载自：中关村在线