Компания Cisco порадовала сегодня очередным выпуском обновлений безопасности. Среди заплаток к оборудованию, мое внимание привлекло уведомление cisco-sa-20100217-csa, в котором упоминалась популярная система проактивной защиты на уровне хоста (aka HIPS) - Cisco Security Agent (CSA). Каким же было мое удивление, когда в адвизори всеми любимого вендора за 2010 год можно прочитать буквально следующее: "The Management Center for Cisco Security Agents is affected by a directory traversal vulnerability and a SQL injection vulnerability". WOW :)
Пояснение. "Management Center for Cisco Security Agents" – это web-based консоль управления CSA на уровне всего предприятия. "directory traversal vulnerability" - уязвимость, которая позволяет выходить за пределы корневой директории Web-сервера (WASC-33). "SQL injection vulnerability" - уязвимость, занимающая вторую позицию в рейтинге CWE/SANS Top 25 Most Dangerous Programming Errors 2010...
Очень сильно сомневаюсь в недостаточной квалификации разработчиков компании Cisco, поэтому налицо недостатки в процессе управления качеством продуктов.
И даже если разрабы низкоквалифицированные, всё равно проблема в контроле качества :)
ОтветитьУдалить...верно ;)
ОтветитьУдалить