OpenDaylight安全漏洞无人问津

编者按:开源模式就像是市集,不仅可以提高效率,还可以通过开放全方位检测软件的不足。但是想要将开源的效果发挥到最大就得有完善的管理体系。OpenDaylight在安全体系的疏忽导致他们未能完全斩获开源的优势,幸好OpenDaylight及时认识到问题。强健的安全体系能够让设备商第一时间获悉项目安全信息,SDNLAB君相信安全响应团队这块肥肉必将成为众人争抢的目标。

OpenDaylight安全漏洞无人问津

【SDNLAB独家译稿】OpenDaylight网络控制器中一个潜在的安全漏洞自8月份被网络安全研究者发现后一直无人问津,该事件最终激起了千层浪,引发了一场关于开源项目中安全措施的争论。

OpenDaylight于2月份首次发布,是一个由业内IT巨头(如Cisco、Intel、HP)支持的软件定义网络平台。发现OpenDaylight安全漏洞的研究者将这个漏洞称为“Netdump”,远程攻击者可以通过网络配置服务访问OpenDaylight控制器系统上的任何文件。易受攻击的文件包括哈希网络认证文件,攻击者可以用普通的工具攻击该文件,从而全面控制网络。

David Jorm是IIX公司的产品安全工程师并且是OpenDaylight社区的成员之一,据他所说,Netdump顽强的存留在OpenDaylight的当前版本Helium版本中,Helium版本是在发现漏洞1个月后发布的,当时漏洞并未得到妥善解决。

研究者无法报告漏洞
不同于其他很多开源项目,OpenDaylight没有安全响应团队或专用的报告安全漏洞的邮箱地址。多次有人提议创建一个安全响应团队,当然也包括这周有望付诸表决的提议。

当Hellfire Security 的网络安全操作主席Gregory Pickett在8月初发现Netdump漏洞时,他一时间竟找不到途径向OpenDaylight报告这个漏洞,几经波折最后通过OpenDaylight网页联系方式报告该漏洞。

Pickett说他当时除了被添加进OpenDaylight的邮箱列表的通知外收不到任何回复,后来Pickett将这个发现提交到了安全邮件列表并且将该漏洞报告给了NIST漏洞数据库。

“在ODL社区中我们很认真的对待安全问题”ODL技术指导委员会主席说道。“我们正致力于更好地建立并宣传我们的安全响应过程,这样任何人都可以报告问题,并且确保我们能在第一时间做出反应。”

补丁程序处于审查阶段
当澳大利亚的安全专家Jorm接手OpenDaylight项目的邮件列表后,漏洞事件总算遇到了转机。“致力于ODL的供应商已经意识到安全问题是该项目的第一要务,” Jorm说道,“但是之前这方面的努力都已经停滞了,因为事实是一个严重的漏洞被忽略了4个多月,很显然,我们在某方面出了问题。”

ODL项目成员展开行动支持Jorm,并于周一提交Netdump的修复补丁。本周有望投票决定是否创建一个安全响应团队,据称这个安全响应团队将会由技术指导委员会选取3-5个成员组成。

由于漏洞事件,安全问题俨然成为供应商关注的焦点,有了安全响应团队,供应商就能及时的获悉最新的安全信息。对供应商而言,安全响应的确至关重要,倘若一个供应商掌控了安全响应进程而其他供应商只能等待公开的报告,那么这个供应商将在部署方面占据很大的优势。

“我已经可以想象供应商们将会争先恐后的将自己的人塞进安全响应团队。”

 
 
 
译自:https://www.sdncentral.com/news/vmware-vet-leaves-midokura-chase-big-data/2014/12/?utm_source=sdnc_post_top&utm_medium=link&utm_campaign=links&utm_content=news


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/5416.html
分享到:
相关文章
条评论

登录后才可以评论

SDNLAB君 发表于14-12-20
6