Microsoft codicem (exemplum) a GitHub removit cum prototypo facinoris demonstrandi principium vulnerabilitatis criticae in Microsoft Exchange. Talis actio iniuriam inter multos investigatores securitatis effecit, ut facinus prototypum post emissionem commissurae divulgaretur, quod commune est.
Clausula regulae GitHub est quae vetat collocationem codicis malitiosi vel facinoris activorum (id est systematum usoris oppugnandi) in repositoriis, nec non usum GitHub sicut suggestum ad res gestas et malware tradendas cum in processu gerendi. de incursu. Sed haec regula non antea ad codicem prototypa adhibita ab investigatoribus adhibita est quae divulgata est ad methodos oppugnandi analysim a venditore dimissa est.
Cum tale signum plerumque non removeretur, actiones GitHub perceptae sunt ut Microsoft usum subsidii administrativi ad informationem de vulnerabilitate in suo producto intercluderent. Critici accusaverunt Microsoft de signis duplicibus et in censoribus contenti magni interest ad securitatem communitatis inquisitionis simpliciter, quod contentus Microsoft utilitates nocet. Secundum membrum Google Project Nulla turma, usus publici facinoris prototypa iustificatur et utilitates periculorum praeponderant, cum investigatio cum aliis peritis communicandi nullo modo sine hac notitia in manus oppugnantium incideret.
Indagator ab Kryptos logicam obicere conatus est, ostendens se in casu ubi adhuc plus quam 50 servientium Microsoft Exchange in retiaculis sunt innovata, evulgans facinus prototypa parata ad oppugnationes dubias spectat. Nocumentum quod primaeva rerum publicatio potest praeponderare utilitatem inquisitoribus securitatis, cum eiusmodi facinora magnum numerum servorum in discrimen vocarent, qui nondum tempus erat ut updates instituendi tempus haberet.
Legati GitHub commentati sunt remotionem tamquam violationem terminorum servitii (Apta Usus Politiae) et affirmaverunt se intelligere momentum publici iuris faciendi prototypa investigationis et educationis proposita, sed etiam periculum ex damno quod in causa facere possunt. manus oppugnantium. Ergo GitHub meliorem aequilibrium invenire conatur inter utilitatem communitatis securitatis inquisitionis et victimarum potentialium tutelam. In hoc casu, evulgatio facinoris apta ad impugnationes committendas, dummodo permulta sint systemata quae nondum renovata sunt, normas GitHub violatas esse agnoscitur.
Notabile est impetus in Ianuario incoepto multo ante emissionem commissuram et detectionem informationum de praesentia vulnerabilitatis (0-die). Priusquam facinus prototypum divulgaretur, circiter 100 milia servientium iam oppugnata sunt, quibus posticum in remotis imperium inauguratum est.
Remotus GitHub facinus prototypum demonstratum est CVE-2021-26855 (ProxyLogon) vulnerabilitas, quae usorem arbitrarium sine authenticatione extrahendi concedit. In conjunctione cum CVE-2021-27065, vulnerabilitas etiam codicem ministranti cum privilegiis administrativis exsecutioni mandare permisit.
Non omnes res gestae remotae sunt, exempli gratia, facilior versio alterius facinoris a GreyOrder explicata manet in GitHub. Facinus nota affirmat facinus originale GreyOrder remotum esse, additis functionibus additis ad codicem qui usores in cursoriis numerans, qui in societates utentes Microsoft Exchange utendo adhiberi possunt ad molem oppugnationum deducendas.
Source: opennet.ru