Un chercheur qui avait initialement prévu de révéler des vulnérabilités majeures dans les routeurs Huawei et HP à une conférence de sécurité, a décidé de ne pas présenter ces vulnérabilités suite à l'intervention de HP.

L’expert en sécurité Kurt Grutzmacher (qui travaille actuellement chez Cisco) devait présenter ses recherches il y a quelques jours à la conférence Toorcon à San Diego sur les failles présentes dans les routeurs, switches et firewalls de Huawei et HP.

Il projetait de confronter sont travail à celui d'un autre chercheur, Felix Lindner qui avait dévoilé plusieurs vulnérabilités dans les routeurs Huawei et notamment un dépassement de mémoire tampon.

HP demande un délai

Kurt Grutzmacher a débuté ses recherches en juin 2012 sur les équipements Huawei et HP. Le 6 août, peu après la présentation de Félix Lindner à la conférence Defcon, il a rendu ses travaux à l’US-CERT afin qu’elle puisse les étudier et consulter HP et Huawei pour y remédier. La procédure standard de l’US-CERT est de révéler au public les vulnérabilités 45 jours après en avoir été informée.

Quoi qu’il en soit, HP et Huawei ont demandé plus de temps et il a reçu un e-mail très cordial de l’équipe de sécurité de HP le priant de ne pas divulguer les failles.

Lors de sa présentation, Kurt Grutzmacher devait aussi proposer des techniques pour atténuer les risques pour les utilisateurs mais pour HP « les informations étaient trop dangereuses » pour être divulguées au public.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143962
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI